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Előszó 


A digitális kommunikáció, adattárolás, -védelem és -feldolgozás tudományos ala- 
posságú vizsgálata Claude Shannon 1948-as, A kommunikáció matematikai elmé- 
lete című cikkével vette kezdetét, így az információ- és kódelmélet tudományága 
alig fél évszázados múltra tekint vissza. Napjainkban azonban szinte észrevétle- 
nül, ám mégis kikerülhetetlenül jelen van az élet és az infokommunikációs ipar 
tömegszolgáltatásainak számos területén. Lehetővé teszi a filmek és zeneművek 
korábban elképzelhetetlenül jó minőségű és gazdaságos tárolását DVD-n illetve 
CD-n, és az alkotások tetszőleges számú lejátszását minőségromlás nélkül. Ki ál- 
modott volna a múlt század derekán arról, hogy egy egész estés mozifilm elférhet 
egy korongon, akár többféle szinkronnal együtt? Gondolhatunk az utóbbi években 
rohamosan elterjedt második és harmadik generációs mobiltelefonokra, vagy a kö- 
zeljövőben hasonló karriert befutó intelligens chipkártyákra. Említhetnénk ezeken 
kívül számos más számítástechnikai és távközlési alkalmazást. 

Ahhoz, hogy ezekben az információtovábbító illetve -tároló berendezésekben 
az információkezelés egyszerre legyen gazdaságos és biztonságos, szükség van 
olyan informatikusokra, akik a különböző kódolási technikákat és algoritmusokat 
készségszinten tudják használni. 

Az informatikusok és villamosmérnökök oktatásában éppen ezért régóta lénye- 
ges szerepet kap ez a terület. A Budapesti Műszaki és Gazdaságtudományi Egye- 
tem Villamosmérnöki és Informatikai Karán, a mérnök-informatikus egyetemi sza- 
kon a kezdetektől a tanterv részei az Információelmélet és a Kódelmélet tárgyak, 
öt éve pedig az Adatbiztonság tárgy is. Ezek a tárgyak a kétciklusú képzésben az 
eredeti célkitűzéssel az MSc szintre kerülnek. 

A kétszintű mérnökképzés bevezetésével fel kell készülnünk ezen ismeret- 
anyag alapjainak az eddigiektől célkitűzésében és módszertanában eltérő átadá- 
sára. A BSc, vagyis az alapképzés jól használható gyakorlati ismeretek elsajátí- 
tására épít, míg az MSc, vagyis a mesterképzés feladata az elméleti háttér rész- 
letes bemutatása, amely alapján a mérnök képes az információtechnológia terüle- 
tén fejlesztési, tervezési illetve kutatási problémák megoldására. A BME mérnök- 
informatikus BSc képzésében önálló alaptárgyként jelenik meg a Kódolástechnika, 
melyet a hallgatók egy félévben, heti négy órában tanulnak. Jegyzetünk ehhez a 
tárgyhoz készült, de törekedtünk arra, hogy az elkészült mű más felsőoktatási in- 
tézmények informatikus alapképzéseibe is könnyűszerrel beilleszthető legyen. A 
jegyzetnek a mérnök-informatikus alapképzésen kívül jóval szélesebb a potenciá- 
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ELŐSZÓ 6 


lis olvasóközönsége. Az egyetemi és főiskolai oktatásban haszonnal forgathatják 
más mérnökszakos vagy matematikus, alkalmazott matematikus szakos hallgatók 
is, de nem szabad megfeledkeznünk a végzett mérnökök szakmai önképzéséről 
vagy szervezett tanfolyamok keretében folyatott továbbképzéséről sem. 

A korlátozott terjedelem és az oktatásra fordítható korlátos idő miatt nem le- 
het célunk a bevezető matematikai ismeretek ismételt elmondása, hiszen ezzel 
a hallgatók más alapozó tárgyak keretében ismerkednek meg (a BME mérnök- 
informatikus szakán ilyen tárgy például a Bevezetés a számításelméletbe vagy a 
Valószínűségszámítás). Ugyanakkor csak az elemi lineáris algebrai és a bevezető 
valószínűségszámítási tudásra építünk. 

Célkitűzésünk, hogy ismertessük az információ átvitelének illetve tárolásának 
alapvető kódolási algoritmusait és ezek tulajdonságait. A szóba jövő információ- 
technológiai feladatokat négy csoportba szokás sorolni: 


e hibajavító kódolás, 
e adatbiztonság, 
e adattömörítés és 


e veszteséges forráskódolás. 


Ehhez igazodnak a következő fejezetek, amelyekben a legfontosabbb technikák 
után alkalmazási példákat adunk (pl. CD, GSM, Internet, videotömörítés), majd 
gyakorló feladatok és azok megoldásai következnek. Végül a legfontosabb isme- 
retek összefoglalása és irodalomjegyzék zárja a fejezeteket. 

Ez a jegyzet a Korszerű Mérnökért Alapítvány ,, Tankönyv, szakkönyv, jegy- 
zet" projektjének keretében készült. Ezúton is szeretnénk köszönetet mondani az 
Alapítvány támogatásáért. 


Budapest, 2006. december 18. 


Buttyán Levente 
Györfi László 
Győri Sándor 
Vajda István 
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1. fejezet 


Bevezetés 


A következő fejezetekben a hírközlési rendszerek működését egzakt matematikai 
eszközökkel fogjuk vizsgálni. Persze sokféle matematikai modellt állíthatunk hír- 
közlési feladatokra, de kezdetben az egyik legegyszerűbbet választva jól kifejez- 
hetjük a probléma lényegét. A hírközlés alapfeladata az, hogy valamely jelsoro- 
Zatot (, információt") el kell juttatni egyik helyről a másikra (vagy tárolni kell). A 
távolságot (vagy időt) áthidaló hírközlési eszköz — a csatorna — azonban csak 
meghatározott típusú jeleket képes átvinni. Az információforrás által előállított 
jelfolyamot kódolással meg kell feleltetni egy, a csatorna által használt jelekből 
álló jelfolyamnak. A felhasználó (vevő, nyelő) a csatorna kimenetén pontosan, 
vagy megközelítőleg visszaállítja, dekódolja az üzenetet. Az 1.1. ábrán egy ilyen 
rendszer blokkdiagrammja látható. 

A kódoló általános esetben három részből áll (1.2. ábra). Az első a forráskó- 
doló vagy tömörítő, amelynek célja a forrás kimenetén jelenlévő felesleges ismét- 
lődések, függőségek, vagyis az ún. redundancia eltávolítása. Ez a tömörítés akkor 
lehetséges, ha vagy az egyes betűk nem egyformán valószínűek, vagy az egymás 
után következő betűk nem függetlenek. Megkövetelhetjük, hogy a forrásdekódoló 
(kitömörítő) pontosan helyreállíthassa az adatokat, de megelégedhetünk részleges 
helyreállíthatósággal is. A forráskódoló tehát a forrás üzeneteit gazdaságosan, tö- 
mören reprezentálja. Ezzel foglalkozik a 4. és 5. fejezet. A kódoló második része 
a titkosító (3. fejezet), amely egyrészt az adatvédelmet garantálja, vagyis azt, hogy 
illetéktelenek ne férhessenek hozzá az üzenet tartalmához, másrészt pedig a hite- 
lesítést oldja meg, vagyis annak bizonyítását, hogy az üzenet valóban a feladótól 
származik. A harmadik rész a csatornakódoló vagy hibajavító kódoló (2. fejezet), 


24 


amelynek feladata a tömörítőével éppen ellentétes. Irányított módon visz be re- 





1.1. ábra. Hírközlési rendszer blokkdiagramja 
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2 : hibajavító 
kódoló — tömörítő titkosító BENAlA 
kódoló 
hibajavító 
dekódoló s kitömörítő Kati 


1.2. ábra. A kódoló és a dekódoló felépítése 








vissza- 
fejtő 





dundanciát az adatokba úgy, hogy a csatorna átviteli hibái javíthatók legyenek. 
Ezeknek megfelelően az 1.2. ábrán látható dekódoló is három részből áll: csator- 
nadekódoló (hibajavító dekódoló), visszafejtő és forrásdekódoló (kitömörítő). 

A második és a harmadik rész feladatának érzékeltetésére tegyük fel, hogy egy 
ügyfél az interneten akar egy banki tranzakciót lebonyolítani. Ekkor nyilván el- 
várja, hogy a megadott adatok pontosan legyenek továbbítva (hibajavító kódolás), 
más személy ne tudja meg ezeket az adatokat még akkor sem, ha az információto- 
vábbítás nyilvános hálózaton, például mobil eszközön történik (titkosítás), a bank 
számára pedig bizonyított legyen, hogy valóban ő kezdeményezte a tranzakciót 
(hitelesítés, digitális aláírás). 

A forráskódoló és -dekódoló együttese foglalja magába a forráskódot, a csator- 
nakódoló és -dekódoló együttese pedig a csatornakódot. A csatorna a kommuni- 
kációs rendszer tervezője számára adott, meg nem változtatható tulajdonságokkal 
rendelkező modell, amely leírja, hogyan zajlik az adatok átvitele vagy tárolása. A 
tervező ennek figyelembe vételével azonban szabadon megválaszthatja a forráskó- 
dot és a csatornakódot úgy, hogy ez minél jobb adattovábbítást eredményezzen. 
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2. fejezet 
Hibajavító kódolás 


A hibakorlátozó kódolás célja információ hibázó kommunikációs csatornákon tör- 
ténő megbízható átvitele illetve hibázó adattárolókon történő megbízható tárolása. 
E célból az információt kisebb egységekre bontjuk, majd redundáns információval 
bővítve kódszavakba képezzük, kódoljuk. A redundancia hozzáadása teszi lehe- 
tővé az információ védelmét hibázás esetén. A hibakorlátozó kódolás két fő tech- 
nikája a hibajelzés illetve a hibajavítás. Hibajelzés esetén a cél annak eldöntése, 
hogy történt-e meghibásodás az információ továbbítása illetve tárolása során. Hi- 
bajavítás esetén ezen túlmenően a hibák kijavítása is feladat. Több kapcsolatos 
kérdés merül fel: hogy történjen a kódszavakba képezés, azaz a kódolás, ha célunk 
a minél erősebb hibakorlátozó képesség, azon feltétel mellett, hogy a rekonstrukció 
(dekódolás) a számításigényét tekintve hatékony maradjon. 

Az alábbiakban a hibakorlátozó kódok konstrukciós és dekódolási alapelveit 
tekintjük át, a hangsúlyt a kapcsolatos fogalmakra és alapvető algoritmusokra he- 
lyezve. 


2.1. Kódolási alapfogalmak 


A hibajavító kódolás alapvető módszereit a 2.1. ábrán látható egyszerű hírközlési 
struktúra kapcsán vizsgáljuk. 

Az u és u! vektorok koordinátái egy F halmazból veszik értékeiket, mely hal- 
mazt forrásábécének nevezzük. A kódoló a k hosszú u vektort (az üzenetet) egy n 
hosszú c vektorba (a kódszóba) képezi le. A c koordinátái egy 0 halmazból veszik 
értékeiket. A 0-t kódábécének vagy csatorna bemeneti ábécének fogjuk hívni. 





2.1. ábra. Hírközlési rendszer blokkdiagramja 
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2.1. KÓDOLÁSI ALAPFOGALMAK 10 


A csatorna kimenete v, szintén egy n hosszú vektor, melynek koordinátái szintén 


0-beliek. 
Egy 
c — (C1,...,Cn) 
bemeneti és 
Vv -— (V1,... Va) 


kimeneti sorozat esetén azt mondjuk, hogy az m-edik időpontban a csatorna hibá- 
zott, ha cm A Vm. Jelölje d(c, v) azon i pozíciók számát, ahol c;  v;. 

d(c,v) neve a c,v sorozatok Hamming-távolsága, és azt mondjuk, hogy a c 
sorozat küldésekor és a v sorozat vételekor a hibák száma t — d(c, v). Ezt az esetet 
nevezzük egyszerű hibázásnak, amikor a hiba helye és értéke egyaránt ismeretlen. 
d(c,v) valóban távolság, hiszen 


d(e,v) 2 0, 


d(e,v) — d(v,e), 


és igaz a háromszög-egyenlőtlenség: 
d(c,v) £ d(c,w) t-d(w, v). 


Kód (blokk-kód) alatt a 0" halmaz egy C részhalmazát értjük, azaz C minden 
eleme egy n hosszú vektor, melynek koordinátái 0-beliek. C elemeit kódszavak- 
nak nevezzük. A továbbiakban a C(n,k, d), illetve rövidítettebb formában C(n,k) 
jelölést alkalmazzuk, kiemelve a kód paramétereit. A kódolás egy invertálható 
függvény, mely k hosszú F-beli sorozatot — üzenetet — képez le egy kódszóba, 
formalizálva: 

f.E" GC, 


és minden különböző u, w-re f(u), f(u") is különböző. 

Dekódolás alatt két függvény egymásutánját értjük. Az egyik a csatorna ki- 
menetének n hosszú szegmensét képezi le C-be, azaz igyekszik eltalálni a küldött 
kódszót, a másik pedig az f függvény inverze, tehát 


g:97—C, FTEZÉT 
Mivel f egyértelműen meghatározza f"!-et, ezért dekódolás alatt a későbbiek- 
ben csak a g függvényt értjük. A g dekódoló függvényként az algebrai hibajavító 
kódok elméletében speciális függvényt választunk, nevezetesen a v vektorhoz meg- 
keressük azt a c" € C kódszót, mely Hamming-távolság szerint hozzá a legközelebb 
van, vagy ha több ilyen van, akkor az egyiket, tehát teljesül, hogy ha c" — g(v), ak- 
kor 


d(c ,v) — mind(e, v). 
ceC 
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2.1. KÓDOLÁSI ALAPFOGALMAK 11 


A dekódolás feladata ezek után arra a messze nem triviális feladatra szűkül, 
hogy egy v vett szóhoz hogyan keressük meg a hozzá legközelebbi c" kódszót anél- 
kül, hogy minden d(e, v)-t kiszámítanánk. Ha mégis kiszámítjuk ezeket a távolsá- 
gokat, és minden v-hez megkeressük a hozzá legközelebbi c kódszót, majd a neki 
megfelelő üzenetet, akkor elvben azt eltárolhatjuk, és így egy táblázathoz jutunk, 
melynek címét v adja, tartalma pedig a v-nek megfelelő dekódolt üzenet. Ez a táb- 
lázatos dekódolásnak a legegyszerűbb, de legpazarlóbb esete, hiszen a táblázat g" 
darab üzenetből áll, ahol g a 0 kódábécé elemszáma. 


2.1. példa (ismétléses kód). Tekintsük azt a nagyon egyszerű kódolást, amikor bi- 
náris forrásunk egyes bitjeit tekintjük üzenetnek, s háromszor megismételve küld- 
jük a kommunikációs csatornába a következő leképezés szerint: 


u C1C2C3 
06000 c€/ 
1OG111I c 


A kód egy hibát képes javítani, mivel 1 hiba esetén a vett szó az átküldött kódszótól 
egy, míg a másik kódszótól kettő Hamming-távolságra van. A kód egy illetve 
kettő hibát képes jelezni, mivel ezen esetekben a vett szó nem lehet kódszó. A 
konstrukció általánosítható: legyen az ismétlések száma n, n 2 3 páratlan szám. 
Könnyen látható, hogy a kód (n— 1)/2 hibát képes javítani, valamint n — 1 hibát 
jelezni. 


2.2. példa (egyszerű paritáskód). Tekintsük azt a feladatot, amikor a forrás a kö- 
vetkező négy lehetséges üzenetet bocsátja ki, a 00, 01, 10, 11 üzeneteket, amelyek- 
hez a kódoló a következő, 3 hosszú kódszavakat rendeli hozzá: 


u1u2 C1C2C3 


006000 Ci 
016011 €2 
106101 C3 
116110 C4 


azaz az u1u2 bitet kiegészítjük egy paritásbittel. A kód egy hibát képes jelezni. A 
kód nem képes hibát javítani: pl. ha cz kód továbbításakor a második bit meg- 
hibásodik, akkor a v — (0,1,0) vett szó azonos, egy távolságra lesz a €c1 és €c2 
kódszavakhoz. 


2.3. példa. A 2.2 példában szereplő üzenetekhez rendeljünk 5 hosszú kódszava- 


kat: 
U1u2 C1C2C3C4C5 


00—600000 Ci 
01-01l1101 C2 
10610110 C3 
1161I11011 C4 
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2z az 


A g és az f-! függvényt a következő táblázat foglalja össze: 


VIV2V3V4V5 c) CD C3C4C5 u u 


00000 
10000 
01000 
0100 
0010 
0001 


a 00000 s 00 


OOO 


1 
1 
0 
1 e. 01101 — 01 
1 
1 


em őr enis él se 
Mm ODO mm E e 
isssz ál ezáők ssel entő as) 
PM E mm mm e 


A E mm mm E ODO 
mm ao e 
mM mm DD mM E e 
mMmOS S. E. 
RFOOCOCOO 


— 11011 — 11 


A mm mm mm oO e 
mA mm mm OO mm e 
O-Ó EG GO 
mMmOS S S e e 
PE EE E e éÖ e 


a 00000 — 00 


— mm OO 
E a 
DEDOOO 
POM e 
OD áá 


111 
110 
101 e. 01101 — 01 
1 


00 


— mi OO 
ma E oO 


Az első 24 kimeneti szó dekódolásakor nincs probléma, hiszen minden 6 szó- 
ból álló csoport minden szava olyan, hogy vagy kódszó (az első helyen álló), vagy a 
kódszó egy bitjének megváltoztatásával (egy hibával) képződött. A 25—28. szavak 
mindegyike c1-től és c4-től 2, míg c2-től és c3-tól 3 távolságra van. Itt önkényesen 
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a dekódolás eredménye cz (jobb érvünk nincs, mint az, hogy jobban szeretjük az 
almát, mint a cseresznyét). A 29-32. szavak mindegyike c1-től és c4-től 3, míg 
c2-től és c3-tól 2 távolságra van. Itt (szintén önkényesen) a dekódolás eredménye 
C2. 

A későbbiekben kiderül, hogy a kódoló f függvény leglényegesebb tulajdon- 
sága a CC kód egy paramétere, amit kódtávolságnak nevezünk, és dmin-nel jelölünk: 


dmin — min d(c,c). 
ce 


c EC 


A 2.1. és a 2.3. példákban dmin — 3, míg a 2.2. példában dmin — 2. 

A hibajelzés a hibakorlátozó kódolás azon feladata, amikor a vevőben csupán 
detektálni akarjuk a hibázás tényét, azaz azt kérdezzük, hogy van-e hiba. Nyilván 
egy Vv vett szó esetén akkor tudjuk a hibázást észrevenni, ha v nem kódszó, amire 
garancia, hogy ha c küldött kódszó esetén 


dmin p. d(v, c), 


azaz a hibák számára 
dmin 21, 


tehát egy dmin kódtávolságú kód minden, legfeljebb dmin — 1 számú hibát jelezni 
tud. 

Mivel a 2.1. és a 2.3. példákban d min — 3, ezért ez a kód 2 hibát tud jelezni, míg 
a 2.2. példa kódja dmin — 2 miatt 1-et. 

Hibajavítás esetén azt kérdezzük, hogy hat a hibák száma, akkor mi biztosítja, 
hogy a v vett szóból a c küldött kódszó egyértelműen visszaállítható legyen, azaz 
minden más c" kódszóra 

d(v,€) 5 d(v,c) 2.1 


legyen. Mivel a Hamming-távolság valóban távolság, ezért teljesíti a háromszög- 
egyenlőtlenséget, azaz 


d(v,€) 2 d(c,c) — d(v,ec), (2.2) 
tehát (2.1) úgy biztosítható, hogy 
d(c,c) —d(v,e) 5 d(v,c), 
ugyanis, ha ez utóbbi teljesül, akkor (2.1) is teljesül, azaz minden c" £ €c-re 
d(c,c) 5 2d(v,c), 
vagyis 


dmin 
2 





5 d(v,ec). 
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Összefoglalva: egyszerű hibázás esetén [mig] hiba javítható. 

A 2.1. és a 2.3. példa kódja 1 hibát tud javítani, míg a 2.2. példa kódjának 
hibajavító képessége 0. 

Gyakran fordul elő olyan hibázás, amikor tudjuk, hogy egy pozícióban hiba 
lehet, vagyis tudjuk, hogy más pozíciókban nincs hiba, tehát a hiba helyét ismer- 
jük, csak a hiba értékét nem. Az ilyen hibát törléses hibának nevezzük. Egysze- 
rűen belátható, hogy minden dmin — 1 törléses hiba javítható, ugyanis a legrosszabb 
esetben sem fordulhat elő, hogy két c, c" kódszó ugyanazon, de legfeljebb dmin — 1 
pozíciójának törlésével ugyanazt a szót kapnánk. 

A 2.1. és a 2.3. példa kódja 2 törléses hibát tud javítani, míg a 2.2. példa kódja 
1-et. 

Nyilván adott n kódszóhosszúság és dmin kódtávolság esetén nem lehet akár- 
milyen nagy méretű kódot konstruálni: 


2.1. tétel (Singleton-korlát). Egy M kódszóból álló, n hosszú és d min kódtávol- 
ságú kódra 
MA ga émint 


BIZONYÍTÁS: Legyen k egy természetes szám, melyre 
g71 em cp. 


Mivel a k— 1 hosszú különböző sorozatok száma g/7! , ezért 97! c M miatt létezik 
két kódszó c és c", melyek az első k — 1 koordinátában megegyeznek. Ezekre 


d(c,C) £n—k-i-1, 


következésképpen 
dmin £n—-k-l, 


azaz 
M zZ g S gyedmintL Hi 


Jellegzetes esetben M — gf, vagyis a kódoló k hosszú forrásszegmensekhez ren- 
del n hosszú vektorokat. Azt mondjuk ilyenkor, hogy a kódunk (n,k) paraméterű. 
Ebben az esetben a Singleton-korlát alakja 


dmin £n—ki-1. 


2.1. definíció. Azon kódot, melyre a Singleton-korlátban egyenlőség áll, maximá- 
lis távolságú vagy MDS (maximum distance separable) kódnak nevezzük. 


A 2.1. példában k — 1, n — 3, dmin — 3, tehát ez akód MDS kód. Ugyanakkor 
a 2.3. példában k — 2, n —5, dmin — 3, így ez akód nem MDS. 

A 2.1. és a 2.3. példák kódjai egy hibát képesek javítani. Ehhez a következő 
szemléletes geometriai képet rendelhetjük. A kódszavak mint középpontok kö- 
rül képzeljünk el l Hamming-sugarú gömböket, azaz a gömb felületén olyan — 
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kódszóhossz hosszúságú — bináris szavak találhatók, amelyeknek a középpontban 
levő szótól való Hamming-távolsága 1. Ha egy hiba keletkezik, akkor a vett szó a 
leadott kódszó körüli gömbön helyezkedik el. Más szavakkal ezen gömbök a dekó- 
dolási tartományok. Tekintsük először a 2.1. példa kódját. A két gömb a következő 
szavakat tartalmazza: 


(0,0,0) : (1,0,0), (0, 1,0), (0,0, 1) 


(1,1,1) : (0,1,1),(1,0,1),(1,1,0) 


A két gömb tartalmazza az összes 3 bit hosszúságú bináris szót, teljesen kitölti 3 
bit hosszúságú bináris szavak terét. A 2.3. példák kódja esetén a négy Il Hamming- 
sugarú gömb nem tölti ki az 5 bit hosszúságú bináris szavak terét. Ugyanakkor nem 
is tudjuk növelni 2 Hamming-sugárra a gömbök méretét anélkül, hogy azok átlapo- 
lódnának. Abban az esetben, ha gömbi dekódolási tartományokkal hézagmentesen 
képesek vagyunk lefedni a teret perfekt kódokról beszélünk. Ennek megfelelően 
a 2.1. példa kódja perfekt, míg a 2.3. példa kódja nem az. Nagyon egyszerű össze- 
függés adódik az 1 hibát javító bináris perfekt kódok paraméterei közötti összefüg- 
gésre. A tér elemeinek száma 2", a kódszavak száma 2", így egy gömb elemeinek 
száma ezek hányadosa, azaz 277". Másfelől, egy 1 Hamming sugarú gömbben 
1 7-n elem van, így adódik, hogy 1 hibát javító bináris perfekt kódok esetén 


14n—27F (2.3) 


A következő szakaszban mutatunk egy az ismétléses kódnál hatékonyabb perfekt 
kódot, a bináris Hamming-kódot. A (2.3) összefüggés könnyen általánosítható tet- 
szőleges t 2 1 hiba javítás esetére: a képlet bal oldalán a gömb elemeinek száma, a 
középpontól 0, I , 2, . . . : Hamming-távolságra levő szavak számának összege, azaz 


V(n)—1--n-k ő EZESS () 


áll. A fenti gondolatmenet alapján adódó Hamming-korlát bináris esetben az alábbi 
V(n ir) e27k 


A Hamming-korlát nembináris esetben a következő alakot ölti: 


E(7)e-Dieg 
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2.2. Lineáris kódok 


Bináris lineáris kódok 


Ebben a szakaszban először bináris kódok egy fontos csoportjával ismerkedünk 
meg. A továbbiakban a kódjainkban szereplő kódszavakat alkotó szimbólumok 
legyenek 0 vagy 1 értékűek, az összeadás és a szorzás pedig a bináris összeadás és 
a bináris szorzás, azaz a modulo 2 összeadás és a modulo 2 szorzás. 

Vezessük be a lineáris kód fogalmát: 


2.2. definíció. Egy bináris C kód lineáris, ha a C halmaza lineáris tér, azaz ha 
minden c, c €C-rec--e e C. 


A lineáris kód definíciójából következik, hogy a 0 vektor eleme minden lineáris 
kódnak, vagyis minden lineáris kód esetén a 0 kódszó. Egyszerűen belátható, hogy 
a 2.3. és 2.2. példa kódja lineáris. 

A lineáris kódok jelentőségét az adja, hogy az egyes üzenetekhez tartozó kód- 
szavak viszonylag egyszerűen generálhatók, és ugyancsak egyszerű módszer talál- 
ható a vett kódszavak hibamentességének vizsgálatára, vagyis a hibadetektálásra, 
és a hibák javítása sem bonyolult. A következőkben e módszereket fogjuk bemu- 
tatni. 

Jelentsen C továbbra is egy lineáris kódot, a kódszóhossz legyen n. Ekkor C 
az n hosszúságú bináris koordinátájú vektorok terének egy altere; , kódszó" helyett 
gyakran , vektor"7-t fogunk mondani. 

A valós vektortérben megszokott lineáris függetlenség és bázis fogalmak itt is 
teljesen hasonlóan értelmezhetők, vagyis 


2.3. definíció. A g1,g2 , . . . , £x c C vektorok lineárisan függetlenek, ha a; c (0,1) 


mellett ; 
Dog: —0 
i—1 


csak úgy állhat elő, ha a; — 0 minden i — 1,2, . . . ,k-ra. 


2.4. definíció. A g1,g2 , . . . gx ec C vektorok a C lineáris tér egy bázisát alkotják, 


2 


ha lineárisan függetlenek, továbbá igaz az, hogy minden c € C vektor előállítható 


k 
c — )3 u; gi (2.4) 
i—1 


alakban, ahol u; c (0,1) minden i — 1,2, . . . ,k-ra. 


Az utóbbi definícióban a bázist alkotó vektorok lineáris függetlenségéből kö- 
vetkezik, hogy a kódszavak fenti típusú előállítása egyértelmű is, ha ugyanis lé- 


24 


tezne két különböző előállítás valamely c € C-re, tehát 


k 
c— ) ui 8i 
i—1 
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k 
c — NYig: 
i—1 


ahol nem áll fenn u; — y; minden i-re, akkor a két egyenletet kivonva egymásból 
a nullvektornak egy nem triviális előállítását kapnánk a bázisvektorokkal, ami el- 
lentmondana azok lineáris függetlenségének. 

A (2.4) egyenlőség felírható mátrixalakban: 


c—uG, (2.5) 


ahol u — (11 , 12 , . . . , u), G pedig a bázisvektorokból mint sorvektorokból álló mát- 
rix. A (2.5) egyenlettel tehát egy k-dimenziós és egy n-dimenziós vektort rendelünk 
össze lineáris transzformációval, mégpedig kölcsönösen egyértelmű módon. Azt 
fogjuk mondani, hogy az u üzenethez a c kódszó tartozik. 

A k-dimenziós u vektorokkal 2"-féle üzenetet fejezhetünk ki, s ezeket kódoljuk 
a CC kóddal. C elemei azonban n-dimenziós vektorok, és n nem kisebb k-nál, hiszen 
k az n-dimenziós vektorok C alterének dimenziószáma. A k — n esetnek nincs most 
jelentősége, ha k kisebb, mint n, akkor viszont világos, hogy nem minden vektort 
kell felhasználni kódszónak, vagyis kódunk redundáns lesz, s ezt a redundanciát 
tudjuk hibajavításra felhasználni. 

Az üzenetekhez a kódszavakat a G mátrix segítségével rendeljük hozzá, vagyis 
a G mátrix jelöli ki az n-dimenziós vektortérnek a kódot jelentő C alterét, a kódot 
G , generálja" . 


2.5. definíció. A fenti tulajdonságú G mátrixot a C kód generátormátrixának ne- 
vezzük. 


Vegyük észre, hogy ha nem törődünk azzal, hogy melyik kódszó melyik üze- 
nethez tartozik, csak a kódszavak halmazát tekintjük, akkor G nem egyértelmű, 
vagyis több mátrix is generálhatja ugyanazt a C kódszóhalmazt. A következő defi- 
níció egy megfeleltetést definiál az üzenetek és a kódszavak között. 


2.6. definíció. Egy (n,k) paraméterű lineáris kód szisztematikus, ha minden kód- 
szavára igaz, hogy annak utolsó n — k szimbólumát elhagyva éppen a neki megfe- 
lelő k hosszúságú üzenetet kapjuk, más szavakkal a k hosszú üzenetet egészítjük ki 
n— k karakterrel. 


A 2.1. szakaszban már leszögeztük, hogy dekódolás alatt csak az esetleges hi- 
bák kijavítását értjük, aminek eredményeképp egy kódszót kapunk. Az üzenet- 
vektor visszanyeréséhez még el kell ugyan végezni a kódolás inverz műveletét, ez 
azonban rendszerint triviális lépés, szisztematikus kód esetén például csak el kell 
hagyni a kódszó egy részét (a végét). 

Szisztematikus kód esetén a generátormátrix is egyértelmű, mégpedig 


G — (Ik, B) (2.6) 
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alakú, ahol I; a k x k méretű egységmátrix, B pedig k x (n— k) méretű mátrix. Az 
u üzenethez tartozó c kódszó szerkezete tehát: 


c — (11, 42... , Uk, Ck415Ck42 tr Cn). 


A c első k koordinátájából álló szegmensét üzenetszegmensnek, az utolsó n—k 
koordinátájából állót paritásszegmensnek nevezzük. 

A lineáris kódok további tulajdonságai elvezetnek az ígért egyszerű hibadetek- 
táláshoz illetve hibajavításhoz. 


2.7. definíció. Ha egy n — k sorból és n oszlopból álló H mátrixra 
Hc" —0 


akkor és csak akkor, ha c € C (e? a c transzponáltja), akkor H-t a C kód paritásel- 
lenőrző mátrixának nevezzük. (Röviden paritásmátrixot fogunk mondani.) 


H segítségével tehát meg tudjuk állapítani, hogy egy vett szó valóban kódszó-e. 


2.2. tétel. Ha G és H ugyanazon C lineáris kód generátormátrixa illetve paritás- 
mátrixa, akkor 
HG" — 0. 


BIZONYÍTÁS: Jelölje 0" a k hosszú bináris sorozatok halmazát. Ekkor minden 
u € 0"-hoz létezik c € C, amire c — uG. Ugyanakkor c € C miatt HcT — 0, azaz 


Hc" — H(uG)" — HGY u? — 0. 


Az utolsó egyenlőség pedig csak úgy állhat fönn minden u c Of-ra, ha HG7 — 0, 
amint állítottuk. HI 


A 2.2. tétel alapján szisztematikus generátormátrix felhasználásával könnyen 


24 


előállíthatjuk a kód egy paritásellenőrző mátrixát. Keressük H-t 
H— (A I, ,) 
alakban. A 2.2. tétel alapján 
HG" — (A, I.) (Ix,B)" —A BT — 0. 


Azaz 
A —-——BT 


kell teljesüljön. (Bináris esetben —B? — Bf.) 
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2.4. példa. Adjuk meg a 2.3. példa kódjának szisztematikus generátormátrixát, ha 
van, és a paritásmátrixot! Ezt úgy kapjuk meg, ha G első sora cz, míg a második 
c, mivel ekkor az első 2 x 2-es részmátrix egységmátrix: 


10110 
Slant je 


A fentiek alapján a paritásmátrix: 


11100 
H— 110010 
01001 


Ugyanígy kapjuk a 2.2. példa szisztematikus generátormátrixát és paritásmátrixát: 


101 
SE 


H—(111). 


A következőkben a súly fogalmát definiáljuk, majd megmutatjuk, hogy lineáris 
kódoknál a minimális súly a kódtávolsággal egyenlő. (Emlékeztetünk, hogy két 
kódszó távolsága azon koordinátáik száma, ahol a két kódszó különbözik.) 


2.8. definíció. Egy c vektor súlya a koordinátái között levő nem nulla elemek 
száma, jelölése w(c). 


2.9. definíció. Egy C kód minimális súlyán a 


Wmin — min w(c) 
ceC 
c£0 


számot értjük. 


2.3. tétel. Ha C lineáris kód, akkor a kódtávolsága megegyezik a minimális súlyá- 
val, azaz 


dmin 7 Wmin- 
BIZONYÍTÁS: 


dmin — mind(c, c) — minw(c— c") — minw(c") — wmi 
min eze! ( b) ) czc/ ( ) c720 ( ) min; 
ahol az utolsó előtti egyenlőség felírásakor a C kód linearitását használtuk ki, ebből 
következik ugyanis, hogy c" — €— c" is kódszó, továbbá, az is, hogy minden kód- 


szó előáll ilyen különbség alakjában. (Utóbbi ahhoz szükséges, hogy a minimum 
képzésekor valóban minden c" € C-t figyelembe vehessünk.) HI 
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A 2.3. tétel jelentősége abban áll, hogy segítségével a dmin definíció alapján 
történő kiszámításához szükséges EA szél 93 műveletet a wmin kiszámításához szük- 
séges IC] — 1 műveletre redukálhatjuk. (]ICI-vel a C elemszámát jelöltük.) 

A 2.1. és a 2.3. példák nemzérus kódszavaira tekintve látható, hogy a minimális 


súly 3, míg a 2.3. példa esetén a minimális súly 2. 


Szindróma dekódolás 
A H mátrix hasznosnak bizonyul dekódolás során. 
2.10. definíció. Az s — eH! mennyiséget szindrómának nevezzük. 


Legyen az adott kódszó c, a vett szó v. AZ e — v — c vektort hibavektornak 
nevezzük. Vegyük észre, hogy 


Hv" — H(c--e)" — He" 3 He" — He! , 


vagyis Hv" értéke csak a hibavektortól függ, az adott kódszótól nem. A szindróma 
tehát a hibavektor egy lineáris leképezése. 

A dekódolás leggyakoribb módja a szindróma dekódolás. A fentiek alapján 
a dekódolás a következőképpen mehet végbe: a vett v szóból kiszámítjuk az s" — 
Hv! — He!" szindrómát, ennek alapján megbecsüljük a hibavektort, s ezt v-ből 
levonva megkapjuk a kódszóra vonatkozó becslésünket. 

A szindrómának hibamintára történő leképezési módját táblázatba szokás fog- 
lalni, az ún. standard elrendezési táblázatba. 

Valamely e hibaminta által generált halmaz (szokásos nevén mellékosztály) az 
e-- c, c € C(n,k) vektorok halmaza. Adott mellékosztály elemeihez azonos szind- 
róma tartozik. Az e — 0 zérus hibavektorhoz tartozó mellékosztály a C(n, k) kóddal 
azonos. Ha egy e hibaminta e — e/ -- c alakban írható fel, akkor a két hibaminta (e 
és e") azonos mellékosztályt generál. Azonos mellékosztályba tartozó hibamin- 
ták közül válasszuk ki a legkisebb súlyút, s azt mellékosztály-vezetőnek nevezzük. 
Ennek megfelelően a standard elrendezési táblázat az alábbi struktúrájú: 


szindróma mellékosztály- 


vezető 





mellékosztály elemek 
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A w(er) 5 w(e0), e — 0, i— 0, 1, .. . 774 — 2 a szokásos sorrend. Köny- 
nyen látható, hogy a táblázat elemei különbözőek. Egy soron belül ez nyilvánvaló. 
Különböző sorokat tekintve tegyük fel, hogy e?) -k el) — el9 3 elm, aholi 5 k. 
Mivel ebből ef) — el 3 elm -— eV) — el9 34. elm következik, ahol el) elm elm e 
C(n,k), ezért eÖ-nek is az e/9 mellékosztály-vezetőjű sorban kell lennie, ami el- 
lentétes kiindulási feltételünkkel. 

Az e), i — 1,2,..., 27774 — 1 mellékosztály-vezetőket javítható hibaminták- 
nak nevezzük, ugyanis ha a v vett szó szindrómája s), akkor a €— v—e(?) kódszóra 
döntünk. A szindróma dekódolásnak ezt az — elsősorban elvi — módját tábláza- 
tos dekódolásnak nevezzük. (Megjegyezzük, hogy a fenti dekódolási módszer 
nembináris ábécé esetére történő kiterjesztésekor 27" helyett g77" áll.) 

A szindrómát használó táblázatos dekódoló tárja a vizsgált bináris esetben 277" 
darab hibavektort tartalmaz, és a táblázat elemeit a szindróma segítségével címez- 
zük. Következésképp a táblázatos módszer gyakorlatban addig használható, amíg 
gyorselérésű tárunk mérete lehetővé teszi a javítható hibaminták tárolását. 


2.5. példa. Adjuk meg a javítható hibamintákat a 


00111 
H— (01010 
10011 


mátrixszal adott kód esetére. 
A dekódolási táblázat a következő: 


javítható 
szindróma hibaminták 
000 00000 
001 10000 
010 01000 
011 00110 
100 00100 
101 00001 
110 01100 
111 00010 


EZNT d 


Tehát a standard elrendezés fenti táblázata alapján történő szindróma dekódolással 
az egyszeres hibák és a 00110, 01100 két hibát tartalmazó hibaminták javíthatók. 


Illusztrációként egy klasszikusnak számító kódot mutatunk be, mely bináris 
Hamming-kód néven ismeretes. Konstrukciónkat az alábbi tételre alapozzuk: 


2.4. tétel. C lineáris kód kódtávolsága legalább d" akkor és csak akkor, ha a pari- 
tásellenőrző mátrixa tetszőlegesen választott d" — 1 oszlopa lineárisan független. 
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A 2.4. tétel alapján 1 hibát javitó bináris kódot kapunk, ha H tetszőleges két oszlopa 
lineárisan függtelen, azaz oszlopai különbözők. Mivel a különböző, nemzérus, 
n — k hosszú bináris vektorok száma 277 — 1, ezért ezen vektorokat használva a H 
mátrix különböző oszlopaiként, az 


n—-27k 1 


összefüggésre jutunk, ami azt is jelenti, hogy a kapott kód perfekt tulajdonságú. 
Ennek alapján bináris Hamming-kód paraméterei az alábbi számpárok (d min — 3): 


n- 3 ke: "1 


7 4 
15 11 
31 26 
63 57 

127 120 


2.6. példa. A (7,4) paraméterű Hamming-kód paritásmátrixa 


1101100 
H—Íí1011010 
0111001 


A generátormátrixa ebből könnyen kiszámítható a már szerepelt A — —B? ösz- 
szefüggés alapján: 
1000110 
0100101 
0010011 
0001111 


2.3. Véges test 


Hatékony hibajavító kódok konstrukciójához szükséges, hogy a nembináris 0 kód- 
ábécé struktúrált legyen, mely például úgy lehetséges, hogy műveleteket vezetünk 
be 0-n. 


2.11. definíció. Egy 0 halmazt testnek nevezünk, ha értelmezve van tetszőleges 
két eleme között két művelet, amelyeket összeadásnak illetve szorzásnak neve- 
zünk, -- illetve x szimbólumokkal jelöljük, és 0 rendelkezik a következő tulajdon- 
ságokkal: 


1. 0 az összeadásra nézve kommutatív csoport, azaz 


a) Minden a, B € 0 esetén a -- B € O, tehát O az összeadásra nézve zárt. 
b) Minden a, B,y € 0 esetén a -- (B 3 y) — (a B) 1- y (asszociativitás). 
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c) Létezik egy 0-val jelölt eleme 0-nek úgy, hogy minden a € 0-re 0 -- 
a — a 3-0 — a. 0-t nullelemnek nevezzük. 


d) Minden a € 0-hez létezik B c 0 úgy, hogy a 1-B — 0. B-t az a. additív 
inverzének nevezzük és —0-val jelöljük. 


e) Minden a, B € 0-re a --B — B- a (kommutativitás). 
2. 0 V(0) a szorzásra nézve kommutatív csoport, azaz 


a) Minden a BE OVW(0) esetén a -B E OVT0) (zártság). 
b) Minden a, B.yE 240) esetén (a - B) :y— a: (P : y) (asszociativitás). 


c) Létezik egy 1-gyel jelölt eleme OV(0)-nak úgy, hogy 1-a— a - 1 — G. 
1-et egységelemnek nevezzük. 


d) Minden a ec OV(0) esetén létezik Be OWT0) úgy, hogy a -B — B - a — 
1. B-t az a, multiplikatív inverzének nevezzük, és a"! -gyel jelöljük. 


e) Minden a BE OV(0)-ra a - B— B - a (kommutativitás). 
3. Minden a,B,y € 9-rea-0—0-a— 0 és a. (B--y) — (a-B) 4 (a - y) (diszt- 
ributivitás). 


Egyszerű konvenciókkal egy O testben defi niálható a kivonás és az osztás a 
következő módon: a — B alatt az a-nak és a B additív inverzének összegét értjük, 
azaz a 4 (—B)-t. a/B alatt az c-nak és a B multiplikatív inverzének a szorzatát 
értjük, azaz o, - B-!-et, amennyiben B nem 0. 


Példák testre: 


e Valós számok halmaza a valós összeadással és szorzással. 

e Racionális számok halmaza a valós összeadással és szorzással. 

e Komplex számok halmaza a komplex összeadással és szorzással. 

e (0,1) a bináris összeadással és szorzással. 

Egy a elemszámú O testet véges testnek nevezünk és GH(g)9-val jelöljük. 
Mielőtt a véges testek aritmetikáját tárgyalnánk, néhány a továbbiakban fel- 


használt fontos tulajdonságukat ismertetjük. 
Egy GE(g) esetén g nem lehet bármilyen: 


2.5. tétel. Egy GF(g) esetén g — p" alakú, ahol p prímszám, tehát g vagy prím- 
szám, vagy prímhatvány. 


2.1. lemma. Minden 0 £ a e GF(9)-ra 


aT7! — 1. 
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2.2. lemma. Minden 0 £ a ec GH(9)-ra létezik egy legkisebb m természetes szám, 
amit az a elem rendjének nevezünk, melyre 


és az a, a? , . . . ,a" elemek mind különbözők. m osztója g — 1-nek. 


2.12. definíció. Egy a ec GF(g)-t a GH(g) primitív elemének nevezünk, ha a rend- 
jeg—l. 


2.6. tétel. Minden GF(g)-ban létezik primitív elem. 


Aritmetika GF(p)-ben 


2.7. tétel. A G — (0, 1, . . . p— 1) halmaz a modulo p aritmetikával egy p prím- 
szám esetén véges test, azaz a testműveletek 


a-tb-atb mod p, 
a:b—a-:b modp, 
ahol -- illetve - jelöli a valós összeadást illetve szorzást. 


2.7. példa. GF(3) 
A GFO) testben a műveletek modulo 3 összeadás és szorzás. A kapcsolatos műve- 
leti táblákat láthatjuk alább: 


1012 x012 
0012 0000 
1120 1012 
2201 2021 
2.8. példa. GEF(7) 
elem (-£ 0) hatványai rendje 
1 1 1 
2 2,4,1 3 
3 3,2,6,4,5,1 6 (primitív elem) 
4 4,2,1 3 
5 5,4,6,2,3,1 6 (primitív elem) 
6 6,1 2 
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A prímitív elem egyrészt igen fontos hatékony kódok konstrukciójakor, más- 
részt GF(g)-beli szorzások és osztások elvégzésekor. Ha a a GF(g) egy primitív 
eleme, akkor bevezethetjük egy a c GF(g) testelem o. alapú logaritmusát az 


ooga —g 


egyenlet (egyértelmű) megoldásával, ahol a - 0. Ha a,b a GF(g) nem 0 elemei, 
akkor 


loga  logb 1oga--logb 
PA 


a:b—a a 7-0 


tehát egy a alapú logaritmustábla és egy inverzlogaritmus-tábla segítségével a szor- 
zás (illetve az osztás) visszavezethető valós összeadásra (illetve kivonásra). 


A következőkben nagyon hasznosnak bizonyulnak a GF(g) feletti polinomok, így 
többek között egy fontos kódcsalád (a ciklikus kódok) leírásában, illetve a prím- 
hatvány méretű véges testek aritmetikája generálásakor fogjuk használni őket. 


Véges test feletti polinomok 


GFE(g) feletti vektorok reprezentálására, és vektorok közötti szorzás kényelmes 
bevezetésére egy célszerű eszköz a polinomreprezentáció: 


2.13. definíció. a(x) — ag 4 a1x7-...--amx" GF(g) feletti m-edfokú polinom, ha 
a; E GF(g), i1—0,....m, am 0, 
x E GF(g). 


A polinom m fokszámát deg a(x) jelöli. (Az a(x) - 0 polinom fokszáma defi níció 
szerint legyen —oo.) 


2.14. definíció. a(x) — b(x), ha a; — b; minden i-re. 
Műveletek polinomok között: 


1. Polinomok összeadása: c(x) — a(x) 4 b(x) tagonként történik GF(g) feletti 
műveletekkel: c; — a; -- b;. Nyilvánvalóan 


degc(x) c max(dega(x), degb(x) ). 


2. Polinomok szorzása: c(x) — a(x)b(x) minden tagot minden taggal szorzunk, 
majd az azonos fokú tagokat csoportosítjuk (az összeadások és szorzások 


GF(g) felettiek): 
min(i,deg a(x) ) 
Cj — )3 a j b; j: 
j—0 
Nyilván 


degc(x) — dega(x) 3- degb(x) 
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2.9. példa. Ha GF(2) felett a(x) — 1-4-x és b(x) — 13-x-Exő, akkor a(x) -b(x) —x? 
és a(x)b(x) —14x7 kr sé. 


2.8. tétel (Euklidészi osztás polinomokra). Adott a(x) és d(x) A 0 esetén egyér- 
telműen létezik olyan g(x), r(x), hogy 


a(x) —gt)d(x) tr), 
és degr(x) a degd(x). 


2.15. definíció. r(x)-et az a(x)-nek d(x)-re vonatkozó maradékának nevezzük. Je- 
lölés: r(x) — a(x) mod d(x). 


2.16. definíció. d(x) osztja a(x)-et, ha a(x) mod d(x) — 0. Ezt a továbbiakban 
d(x) I a(x) formában fogjuk jelölni. 


2.17. definíció. b c GF(g) gyöke az a(x) polinomnak, ha a(b) — 0. 


da 


2.9. tétel. Ha c az a(x) polinom gyöke, akkor az előáll 
alx) —b(x)(x— c) 
alakban. 


2.10. tétel. Egy k-adfokú polinomnak legfeljebb k gyöke lehet. 


Aritmetika GF(p")-ben 


Lényeges különbség van a prím illetve prímhatvány méretű testek aritmetikája 
között. Prím méretű testben a modulo aritmetika megfelelt. Prímhatvány méret 
esetén sajnos a modulo aritmetika nem teljesíti a testaxiómákat, például egy 4 
elemű halmazban 2-2 mod 4 — 0, tehát két nem 0 elem szorzata 0 lenne, ami 
sérti a 2. a) axiómát. A GH(p") feletti aritmetika konstrukciója azért alapvető 
fontosságú, mert manapság a hibajavító kódokat tömegesen alkalmazzuk számí- 
tástechnikai környezetben, ahol a természetes ábécé a GF(29), vagyis a bájt. 

A GH(p")-beli elemek legyenek a 0), I, . . . , " — 1 számok, melyeknek m hosz- 
szú vektorokat feleltetünk meg, ahol a koordináták GF(p)-beliek. Ezt megfogal- 
mazhatjuk például úgy is, hogy a 0, I, . . . ,p"— 1 számokat p-s számrendszerben 
írjuk fel. Ezek után a GH(p")-beli aritmetikát m hosszú vektorok közötti műve- 
letekkel definiáljuk. A két művelet közül az összeadás az egyszerűbb: két vektor 
összegén a koordinátánkénti GH(p)-beli összeget értjük, vagyis a koordinátánkénti 
mod p összeget. A szorzás egy kicsit bonyolultabb. A két m hosszú vektort leg- 
feljebb (m — 1)-edfokú polinom formájában reprezentáljuk, és összeszorozzuk. Az 
eredmény fokszáma meghaladhatja (m — 1)-et, ezért itt egy speciális polinom sze- 
rinti maradékot képezünk. Ezt a speciális polinomot irreducíbilis polinomnak ne- 
vezzük, és ez a polinom ugyanolyan szerepet játszik, mint a prímszám a GH(p)-beli 
aritmetikában. 
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2.18. definíció. A GHP) feletti, nem nulladfokú P(x) polinomot irreducíbilis po- 
linomnak nevezzük, ha nem bontható fel két, nála alacsonyabb fokú GHK(p) feletti 
polinom szorzatára, azaz nincs GFH(p) feletti a1(x) , az(x) polinom, melyekre 


P(x) — a1(x) : az(x) 


0 a deg(a;(x)) a deg(P(x)), :ra1 2 


Bizonyítás nélkül megjegyezzük, minden véges testben található tetszőleges 
fokszámú irreducíbilis polinom. Példát mutatunk viszont arra, hogy hogyan lehet 
GFC2) feletti irreducíbilis polinomokat generálni. A definícióból következik, hogy 
minden elsőfokú polinom (x és x -- 1) irreducíbilis. Ha találunk olyan másodfokú 
polinomot, mely különbözik az x?, az x(x 1) és az (x- 1)? mindegyikétől, akkor 
találtunk irreducíbilis másodfokú polinomot. Egy ilyen van: x? 3-x-- 1. Más test- 
ben és nagyobb fokszám esetén ennél hatékonyabb konstrukciókat érdemes hasz- 
nálni, de bináris esetben így is találhatók irreducíbilis polinomok, amelyeket táb- 
lázatban foglalunk össze: 





fokszám irreducíbilis polinom 

d x23x--1 

3 x4xit1 

4 x-tx-1l 

5 xx 1 

6 x63-x--1 

7 xx? il 

8 x8 px 3 xx 11 
9 xx 1 


2.11. tétel. Legyen p egy prím, m egy természetes szám, P(x) egy GKP) feletti 
m-edfokú irreducíbilis polinom és 0 — (0,1,...,p"—1). Egy a c 0-nak és b c 
90-nak kölcsönösen egyértelműen feleltessünk meg GK(p) feletti, legfeljebb (m — 
1)-edfokú a(x) és b(x) polinomot. a b definíció szerint az a c c 0, melynek 
megfelelő c(x) polinomra 

c(x) — a(x) 1 b(x). 


a: b az ad c O, melynek megfelelő d(x) polinomra 
d(x) — fa(x) :b(x)) mod P(x). 
Ezzel az aritmetikával 0 egy GH(p"). 


2.10. példa. Készítsük el a GF(2?9-beli aritmetikát! Tudjuk, hogy a P(x) — x2 -k 
x--1 egy másodfokú irreducíbilis polinom. A kölcsönösen egyértelmű megfelelte- 


Kódolástechnika - 2006 - crysys web változat - 6. 


2.4. NEMBINÁRIS LINEÁRIS KÓD 28 


téseket egy táblázatban foglaljuk össze: 


testelemek  m — 2 hosszú vektorok polinomok 


0 00 0 
1 01 1 
2 10 x 
3 11 xti 


Az összeadást egyszerűen a 2 hosszú vektorok koordinátánkénti bináris ösz- 
szegével kapjuk. Nézzünk a szorzásra példát! 2 :-3-at úgy számoljuk ki, hogy a 
2-nek és a 3-nak megfelelő polinomot összeszorozzuk, és vesszük a P(x) szerinti 
maradékot: 

x(xH1)—1 (modx?3-x--1), 


amely megfelel az 1 testelemnek. Az összeadó és a szorzó tábla ennek megfelelően 
a bináris vektorokra: 


- 000110 11 : 00011011 
0000011011 00 00 00 00 00 
0101001110 0100011011 
1010110001 1000101101 
1111 100100 1100110110 
majd testelemekre 
10123 "0123 
00123 00000 
11032 10123 
22301 20231 
33210 30312 


2.4.  Nembináris lineáris kód 


Ebben a szakaszban kódok egy fontos csoportjával ismerkedünk meg, melyek a 2.2. 
szakaszban megismert bináris lineáris kódok kiterjesztései nembináris esetre. 

A továbbiakban a kódjainkban szereplő kódszavakat alkotó szimbólumokat ve- 
gyük GH(g)-ból, a lehetséges szimbólumok tehát a 0, I, 2, . . . , 4 — 1 számoknak fe- 
leltethetők meg. 


2.19. definíció. Egy C kód lineáris, ha a C halmaz lineáris tér GF(g) fölött, azaz 
ha minden c, c" € C-re 
cte EC 


illetve B c GF(g) esetén 
Pece C. 
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A 2.2. szakaszhoz hasonló módon belátható, hogy tetszőleges C lineáris kód- 
hoz létezik egy k lineárisan független sorból és n oszlopból álló G mátrix, melyre 


c—uG, (2.7) 


ahol a k hosszú u üzenethez a c kódszó tartozik, és a G mátrixot a C kód generá- 
tormátrixának nevezzük. 

A bináris esethez hasonlóan a C lineáris kódhoz egy n — k sorból és n oszlopból 
álló H mátrixot paritásmátrixnak nevezünk, amennyiben 


Hc7 —0 


akkor és csak akkor teljesül, ha c € C. 
A bináris eset másolataként kaphatjuk, hogy 


2.12. tétel. Minden C lineáris kódnak van paritásellenőrző mátrixa. 


Példaként bemutatjuk a nembináris Hamming-kódot. Ismét 1 hibát javító kó- 
dot akarunk konstruálni. A bináris esetben a hiba javításához elég volt ismerni a 
hiba helyét, amihez elégséges volt, ha a H paritásmátrix minden oszlopa külön- 
böző. Nembináris esetben nemcsak a hiba helyét, hanem a hiba értékét is meg kell 
állapítani, ezért a H mátrix oszlopait úgy választjuk, hogy azok nem 0-k, mind 
különbözők legyenek, és az első nem 0 elem minden oszlopban 1 értékű legyen. 
Ekkor, ha egy hiba esetén az az i-edik helyen fordul elő és értéke e;, akkor a szind- 
róma s — eja;, ahol af a H i-edik oszlopa. Tehát a hiba értéke, e; éppen a szindróma 
első nem 0 értéke, míg a; — Tz amiből az i visszakereshető. 

Ha H tartalmazza az összes lehetséges, a fenti módon megengedett oszlopvek- 


tort, akkor 
n-k 1 
n7- — —, 
úzd 
azaz 


1--n(g — 1) .. get, 


másrészt a Hamming-korlát miatt 


1-7-n(g — 1) S get, 


tehát 
2.13. tétel. A maximális hosszúságú nembináris Hamming-kód perfekt kód. 


A nembináris Hamming-kódok közül különösen érdekes az az eset, amikor a 
kód szisztematikus és a paritásszegmens hossza 2, azaz n—k — 2. Legyen Ca a 
GF(g) egy nem 0 eleme, melynek rendje m 2 2. Válasszunk n £ (m -- 2)-t és 
k — (n — 2)-t. Ekkor a paritásmátrix: 


11 1 --- 1 10 
[ESA OsSZáDAS EVT) 
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Ez egy (n,n — 2) paraméterű nembináris Hamming-kód paritásmátrixa. 
A 2.2. tétel alkalmazásával nyerjük a kód generátormátrixát: 
1000---0—-1 -I 
0100---0—-1 -—a 
G—010010-.-0—1 —o£ 
0000-.-1—1—a075 


Mivel ez a kód 1 hibát tud javítani, ezért dmin 2 3, de a Singleton-korlát miatt 
dmin C£n—k-i-1 — 3, ezért 


2.14. tétel. Az (n,n— 2) paraméterű nembináris Hamming-kód MDS kód. 


2.11. példa. Írjuk fel a GF(7) feletti, (8,6) paraméterű Hamming-kód generátor- 
mátrixát és paritásmátrixát! GF(7)-ben a 3 primitív elem (lásd a 2.8. példát), tehát 


H — 11111110 
."113264501 


100000—-1-1 10000066 
010000—16—3 01000064 
G — 001000-1-2]1 1[100100065 
000100—-1-6 00010061 
000010-1-4 00001063 
000001—-1-5 00000162 


Rced-Solomon-kód 


Ebben a szakaszban a lineáris kódok egyik leggyakrabban használt osztályával, 
a Reed-Solomon-kódokkal, azok különböző konstrukcióival ismerkedünk meg. 


2.1. konstrukció. Legyenek Og, 01 , . . . , (n-1 a GF(g) különböző elemei (n £ ag), 
és u — (uo, 1, ... ,Uk-1) (u; c GF(a)) a k hosszúságú üzenetszegmens, amelyhez 
az 


u(x) — go 1 ux-... -k ug xT 


üzenetpolinomot rendeljük. Ekkor a Reed-Solomon-kódnak az u üzenethez tar- 
tozó n hosszú c kódszavát a következő módon állítjuk elő: 


Co u(o9) 
CI — u(01) 
C2 — u(0) 


Cn—1 — u(On- 1). 
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Egyszerűen belátható, hogy a Reed-Solomon-kód lineáris, és a generátormát- 


rixa 
1 1 l -..- 1 
Oo Ci 02 ::: On 1 
G 
k—1 4k—1 4k—1 k—1 
Og OI A 0 I 


2.15. tétel. Az (n,k) paraméterű Reed-Solomon-kód kódtávolsága 
dmn—n—ki-l, 


vagyis a Reed-Solomon-kód maximális távolságú. 


BIZONYÍTÁS: 
w(c) — I(e nem 0 koordinátái )/ — 
— n — ][.e 0 koordinátái ) 2 
2 n— [fu(x) gyökeij] 2 
2n7- (k 2 T 1), 
tehát 


Wmin 3 1—ki-1. 


Ugyanakkor a 2.1. tétel és a 2.3. tétel miatt 
n—ki1 1 2 dmin — Wmin, 
következésképp az állítást bebizonyítottuk. HI 


Az (n,k) paraméterű Reed-Solomon-kód tehát n — k hibát tud jelezni, [5" 
egyszerű hibát javítani és n — k törléses hibát javítani. Ez utóbbi azt is jelenti, hogy 
az u ismeretlenre vonatkozó 

uG — c 


n darab egyenletből bármelyik n — k egyenlet elhagyásával egy egyértelműen meg- 
oldható egyenletrendszer marad, tehát a G mátrix minden k x k-s négyzetes rész- 
mátrixa invertálható. 


2.2. konstrukció. Legyen a. a GF(g) egy nem 0 eleme, melynek rendjem, m2 n 
és a 2.1. konstrukcióban legyen ag — 1,O4 — Gx, . . . , (n. 1 — 0-1. Ekkor a generá- 


tormátrix: 
11 1 :..1 
la o . ar 1 
G-11 02 a . . o2(n—1) 
1 ak—1 g2(k—1) . . . gy(k—1)(n—1) 
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2.5.  Ciklikus kódok 


2.20. definíció. Egy 
c — (C0,C1,: Vg :Cn1) 


vektor ciklikus eltoltja az 
Sc — (Cn—1, CO; dat FÖ4ZD) 
5-et a ciklikus eltolás operátorának nevezzük. 


2.21. definíció. A C kódot ciklikusnak nevezzük, ha bármely kódszó ciklikus el- 
toltja is kódszó. 


2.12. példa. Legyen C a 
000 
101 
110 
011 
111 


vektorok halmaza. Egyszerűen belátható, hogy C ciklikus. Megjegyezzük, hogy 
a ciklikusságból nem következik a linearitás, például a 2. és az 5. kódszó összege 
010, amely nem eleme a kódnak. 


A ciklikus eltolás operátorát kényelmesebben tudjuk kezelni, ha a kódszavakat 
mint vektorokat a már megszokott polinomos formában reprezentáljuk. 


2.22. definíció. Rendeljünk polinomot az egyes kódszavakhoz a következő mó- 
don: 

€ — (co, C1,...,Cn-1) Fő c(x) — cg cixT tt -ken ax 1, 
ekkor a c kódszónak megfeleltetett c(x) polinomot kódszópolinomnak vagy rövi- 
den kódpolinomnak nevezzük. A kódszópolinomok halmazát C(x)-szel jelöljük. 


2.3. lemma. Legyen c (x) a c kódszó Sc eltoltjához rendelt kódszópolinom, ekkor 
c (x) — [xc(x)] mod (x" — 1). 


2.16. tétel. Minden (n,k) paraméterű, ciklikus, lineáris C kódban a nem azonosan 
nulla kódszópolinomok között egyértelműen létezik egy minimális fokszámú g(x) 
polinom, amelynek legmagasabb fokú tagja együtthatója 1. g(x) fokszáma n — k, 
és egy c € C akkor és csak akkor, ha g(x) I c(x), azaz létezik egy u(x) polinom úgy, 


hogy c(x) — g(e)ul). 


2.23. definíció. g(x)-et a kód generátorpolinomjának nevezzük. 
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2.17. tétel. Minden ciklikus, lineáris kód g(x) generátorpolinomjára 


g(x) I" —1. 


Másrészről, ha egy g(x) főpolinomra g(x) ] x" — 1, akkor létezik egy lineáris cikli- 
kus kód, melynek g(x) a generátorpolinomja. 


A paritásmátrixnak is van polinomos megfelelője: 


2.24. definíció. Egy g(x) generátorpolinomú lineáris, ciklikus kód esetén a 


mass e) 





polinomot paritásellenőrző polinomnak nevezzük. 


2.18. tétel. Egy lineáris, ciklikus kódra c(x) akkor és csak akkor kódszópolinom, 
ha 
c(x)h(x)— 0 mod(x"—1) 


deg (c(x)) Cn—1. 


Ciklikus kódok szisztematikus generálása 


A ciklikus kódok előnyös tulajdonságai egyrészt a generálási lehetőségek sok- 
féleségében, másrészt egyszerű dekódolási eljárásokban jelentkeznek. Egy lineáris 
ciklikus kódot lehet például a generátorpolinom és az üzenetpolinom szorzásával 
generálni. Ez a módszer megfogalmazható egy olyan G generátormátrix segítségé- 
vel is, amelyhez legegyszerűbben úgy juthatunk el, ha G sorai a g(x)-nek megfelelő 
vektor eltoltjai: 


808182-""8n-ker 1 00 0--: 0 

0 g0 81 """ 8n—k—2 8n-kki 18 0 
G—[ : : : : ho: ro: 

000-- 0 80 81:""8n-k-il 


kihasználva, hogy g(x) főpolinom, így gn-k — 1. 
Egy másik generálási módszer kapcsán azt is megmutatjuk, hogy 


2.19. tétel. Minden lineáris ciklikus kód generálható szisztematikusan. 
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BIZONYÍTÁS: Vegyük észre, hogy goa 7 0, mert ha 0 lenne, akkor a g-t balra 
eltolva g-nél 1-gyel kisebb fokszámú kódszópolinomot kapnánk, ami lehetetlen. 
g0 A 0 miatt viszont a Gauss-eliminációt balról jobbra végrehajtva szisztematikus 
generátormátrixot kapunk. HI 


A szisztematikus generálás egy praktikus módszere a következő: 
Legyen u(x) egy legfeljebb (k — 1)-edfokú üzenetpolinom és 


15k] 


— [u(x)x mod 2(x), 


akkor c(x) kódszópolinom, mivel c(x) — 0 mod g(x). Ezen generálás szisztema- 
tikus: a c(x)-et definiáló egyenlőség jobb oldalának első tagja adja az üzenetszeg- 
menst, míg a második tagja a paritásszegmenst. 


2.13. példa. Tekintsük a GF(2) feletti g(x) — 1--x-- x? polinomot! Mivel 
x—1—(134x)(14x-4x)(1-4x7 0), 


ezért g(x) osztja (x7" — 1)-et, tehát g(x) egy (7,4) paraméterű bináris, lineáris, cik- 
likus kód generátorpolinomja. Egy generátormátrixához jutunk a g(x) eltoltjaival: 


0001011 
0010110 
0101100 
1011000 


G — 


A második módszer szerinti szisztematikus generátormátrixhoz úgy jutunk el, ha 
kiszámítjuk az [őt] mod (1--x-x?) maradékokat i — 0, 1, 2, 3-ra, melyek 
x2—-1-4x mod (1-kx-x?) 

xt — x(173-x1x) —x(1 4 x) — 
— x(14-x) — 
— xx? mod (1-4-x-Fxő) 
29 — x2(14x-4x) — xx (1 1-x) — 
— x(17-x) — 
—1-kx-x? mod (1--x-x?) 
x5 — x9 (174 xx) —x (114 x) — 
— 7 xi — 
—-1-4x-tx-x — 
— 1--x? mod (1-4-x-x) 











Ezek alapján 
1000101 
G — 0100111 I 
0010110 
0001011 


Kódolástechnika - 2006 - crysys web változat - 6. 


2.6. DEKÓDOLÁSI ALGORITMUS 35 


amely a már jól ismert (7, 4) paraméterű Hamming-kód szisztematikus generátor- 
mátrixa. 


Ciklikus Reed-Solomon-kód 


24 


A Reed-Solomon-kódok legfontosabb gyakorlati előállítási módja az alábbi 
tételen alapszik: 


2.20. tétel. A Reed-Solomon-kódok esetén legyen az n kódszóhossz egyenlő az 
ott szereplő a elem m rendjével. Ekkor a kód ciklikus, és generátorpolinomja 


n—k ; 
869-TI6— o), 


tehát a nem rövidített Reed-Solomon-kód ciklikus. 


2.21. tétel. A 2.20. tétel Reed-Solomon-kódjának paritásellenőrző mátrixa 


la oz .. ar 


102 al . . . a2(n—1) 
H — 


1 ok a2(n—k) Bsz a(n—1D(n—k) 


2.6.  Dekódolási algoritmus 


A 2.2. szakaszban lineáris kódok táblázatos dekódolását mutattuk be. A táblázat 
sorainak száma g"7-F, azaz a módszer gyakorlati alkalmazhatóságát a paritásszeg- 
mens hossza és a kódábécé mérete határozza meg. Ha a táblázat mérete megha- 
ladja a tárkapacitásunkat, nem tudjuk előre tárolni az egyes szindróma értékek- 
hez tartozó javítható hibamintákat, ehelyett a hibamintát a vett szó szindrómájának 
meghatározása után mindig újra kiszámítjuk. Az általános hibajavító algoritmusok 
bemutatása meghaladja ezen jegyzet kereteit, ugyanakkor módunk van arra, hogy 
egyszerűbb esetekben bemutassuk az általános algoritmusok alapvető lépéseit. Az 
alábbiakban Reed-Solomon-kód esetén egy hiba javításának, illetve azt 2 1 törlés 
javításának algoritmusát mutatjuk be. 


Egy hibát javító ciklikus Reed-Solomon-kód generátorpolinomja 


819) —(x—0(x— 0v), 
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következésképp tetszőleges c(x) kódszó esetén c(a) — c(a?) — 0. A vett szó v — 
c -- e felbontása polinomos alakban v(x) — c(x) -- e(x). Az egy hiba javítás esetét 
tekintve e(x) — exi, ee GF(g), i c (0,1,...,n—1), ahol e a hiba értéke, és i a hiba 
helye. A 2.21. tételbeli paritásellenőrző-mátrix alapján láthatjuk, hogy s — (s1, 52), 
si; € GF (g), i — 1,2 szindróma vektor komponenseit ekvivalensen kiszámíthatjuk 
a következő módon: sz — v(o), s2 — v(o2?). Innen 
s1 —v(a) — c(oa) Fela) —0--e(a) — ela) — e- ai 
s2 — v(o2) — c(a?) h- ele?) — 0-7 e(e?) — e(o2) — e. a, 

ahonnan i 

e:0 — s 

e: ai — 52) 
egyenletrendszer adódik e, i ismeretlenekben. Így s2/si — ai, amiből az i hibahe- 
lyet kapjuk, majd ezután meghatározzuk az e — 510! hibaértéket. 


Törléses hiba esetén ismerjük a hibahelyeket, de továbbra sem ismerjük a hiba 
értékeit. A dekódolási algoritmus alapja ismét a szindrómákra vonatkozó lineáris 
egyenletrendszer 

s1 — v(o) — eso 4... ep ori 
52 — v(02) — er: 001 4... ep o 

s; — v(o!) — eg: o(i1 3... ep . ori 


ahol e(x) — ez xi! 4. ep: xi, továbbát Ca n—k. 


2.14. példa. Egy GK(1) feletti g(x) — (x — 2)(x — 4) generátorpolinomú Reed— 
Solomon-kód dekóderéhez érkezett vett szóból 2 karakter törlődött: 


0. 1. 2. 3. 4. 5. 6. 7. 8. 9. 
(8200200?0?) 


Határozzuk meg a törlődött karaktereket! 
u,v € GF(11) ismeretleneket bevezetve az ismeretlen értékekre, a kódszó polinom 
alakban a következő: 
c(x) — ux? -vx" 2 h2x 8. 
A c(2) — 0, c(4) — 0 egyenletek alapján: 


u:D3v.2732.2432.238—0, 
u:4 hv.47"32.-4t32-448—0, 








GF (11) feletti egyenletrendszer adódik, amelynek megoldása u — 0, v — 0. 
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2.7.  Kódkombinációk 


A standard kódkonstrukciók során kapott kódok paraméterei nem mindig illesz- 
kednek közvetlenül az adott alkalmazásban megkövetelt értékekhez. Hatékony, 
ugyanakkor egyszerű módszerek léteznek arra, hogy változtassuk a kódszóhossz, 
üzenethossz, kódtávolság paraméterek értékét az eredeti konstrukcióhoz képest. 
Az alábbiakban ezen módszereket tekintjük át röviden. 


Kódátfűzés és a csomós hibák javítása 


Adott C(n,k) kód m-szeres átfűzésével egy C" — C(mn,mk) kódot kapunk, 
olyan módon, hogy a C kód c, 7 —1,...,m m darab kódszavát egy m x n di- 
menziós mátrixba rendezzük soronként, s a C" átfűzéses kód c kódszavát ezen 
mátrix oszlapainak sorrendben való kiolvasásával képezzük. Azaz a kódszavakat 


4 


(komponens szavakat) fésű módon egymásba toljuk: 


c — VE ZAN ACL EL KE elsejét s gat 1] (2.8) 


Lineáris kódot átfűzve nyilván lineáris kódot kapunk. Az is könnyen látható, 
hogy ha d a C kód kódtávolsága, akkor a C" átfűzéses kód távolsága is d marad. 


Lineáris C kódot tekintve legyen c0, 1—1,...,m sorozat egyik kódszavának súlya 
d, míg a többi kódszó legyen a zérus kódszó. Általános esetben tekintsük a C 
kódbeli kódszavak e(!", i — 1,...,m, el), i— 1,...,m két sorozatát, ahol el: 


és e?) távolsága d, míg el!) — e), i — 2,...,m. (A később bemutatott CD 
példájában m — 2,n — 28,k — 24.) 

Ciklikus kódot átfűzve ciklikus kódot kapunk. Legyen § az egyszeri ciklikus 
jobbra léptetés operátora. Könnyen ellenőrizhető, hogy a (2.8) szerinti c kódszó Sc 
ciklikus eltoltja az sem e e2,... el" D sorozat átfűzésének felel meg, s mivel 
Se(m) € C, ezért Sc € C" is fennáll. 


Mint láttuk, a kódtávolság nem változik átfűzés során, ami azt jelenti, hogy 
a C" átfűzéses kód szokásos képességei (véletlen hibák javítása, törlésjavítás, de- 
tekciós képesség) romlanak az átfűzéssel, hiszen ezen képességek m-szeres kód- 
szóhosszon érvényesek. Ha valaki itt arra gondolna, hogy például az egyes kompo- 
nensszavak javítóképessége nem változott, s így a teljes javító képesség a kompo- 
nensek m-szeresének tűnik, az ott hibázik, hogy t javítóképesség azt jelenti, hogy 
tetszőleges t pozícióban eshet hiba, nem pedig azt, hogy az a komponens sza- 
vaknak megfelelően kerül , szétosztásra". Ezen a ponton felmerül a természetes 
kérdés: egyáltalán mire jó akkor az átfűzés? A válasz: hibacsomók javítására. 

A hibavektor egy /! hosszúságú szegmense hibacsomó ! hosszal, ha a szegmens 
első és utolsó karaktere nem zérus. Egy kód /! hosszúságú hibacsomót javító, ha 
minden legfeljebb / hosszúságú hibacsomó javítható. 


2.22. tétel. A C" átfűzéses kód m-t hosszúságú hibacsomót javító, aholt aC kód 
javítóképessége. 
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2.2. ábra. Kódátfűzés t — 2 esetén 


BIZONYÍTÁS: A (2.8) szerinti c kódszóban egy legfeljebb m-t hosszúságú hi- 
bacsomónak megfelelő hibázás a komponens szavakban legfeljebb t számú hibát 
okozhat, amit azok javítani képesek. (A t — 2 esetet szemlélteti a 2.2. ábra.) Hi 


Egy tetszőleges lineáris C(n,k) kód n,k paramétere alapján a kód / hibacso- 
mójavító képességére az alábbi egyszerű korlát adható: 


2.23. tétel. Egy C(n,k) lineáris kód ! hibacsomójavító képességére fennáll, hogy 
(s IA]: 


A tételbeli korlát Reiger-korlát néven ismert. Azokat a hibacsomó javító kódo- 
kat, amelyre / — [5-£ ] fennáll, Reiger-optimálisnak hívjuk. 


MEGJEGYZÉS: Egy MDS tulajdonságú lineáris kód Reiger-optimális. 


Szorzatkód 


Egy C1(n1,k1,d1) és egy C2(n2 , ka , da ) lineáris kód (komponenskódok) felhasz- 
nálásával Ci x C2(ni :n2 , ki : ka , da " d ) szorzatkódot készíthetünk, amelynek kód- 
szavai n1 x na dimenziós mátrixok, ahol a mátrix sorai Ci kódbeli, oszlopai C; kód- 
beli kódszavak. Szisztematikus komponenskódok esetén a szorzatkódbeli mátrix- 
kódszó bal felső ki x ka dimenziós minorja tartalmazza az üzenetet. A mátrix- 
kódszavakat soronként kiolvasva kapjuk a szorzatkód — soros — kódszavát. A 
kapott Ci x Co (ni nki: ko) kód lineáris. 

A mátrix-kódszó képzése a következőképp történik. Az első ki oszlopot a 
C2(n2,k2) kód alapján szisztematikus kódolással kapjuk, kiegészítve a k2 hosszú 
üzenetszegmenst n; — kz hosszú paritásszegmenssel (2.3. ábra). Az első k2 sort a 
C1(ni,ki1) kód alapján szisztematikus kódolással kapjuk, kiegészítve a ki hosszú 
üzenetszegmenst ni — ki hosszú paritásszegmenssel. A mátrix jobb alsó sarkába 
kerül a paritások paritása, amit — mint azt hamarosan belátjuk — képezhetjük 
akár az első ki oszlop, akár az első ka sor paritásai alapján szisztematikus kódo- 
lással a C? illetve Ci kódbeli szavakkal. A fenti módon képezett szorzatkódot — 
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ni—1 
(m2—1) (n2—1) (n2—1) (n2—1) (n2—1) 
cg Ci eped Ek """ Cm-I 


2.3. ábra. A szorzat-kódszó képzése 





Ji hb  J3z ja 


2.4. ábra. A paritások paritásainak képzése 


amelynek sorai illetve oszlopai az alapkódok kódszavai — kanonikus elrendezésű- 
nek nevezzük. 

A paritások paritásai képzésével kapcsolatos alábbi gondolatmenetünket il- 
lusztrálja a 2.4. ábra. 

Képezzük azt a Cj x Cs kódbeli kódszót, amelynek üzenetmátrixa csak az 
(i1, ja) koordinátájú helyen tartalmaz nullától különböző elemet. Ehhez az üze- 
nethez képezzük a C; illetve Ci kódolás szerint a Ci x Cs kódbeli kódszó i1-edik 
sorát és j1-edik oszlopát. A kétdimenziós paritásszegmens jobb felső illetve bal 
alsó részmátrixa az i1-edik sor illetve a j1-edik oszlop kivételével csak 0 elemeket 
tartalmaz. Innen már egyszerűen látszik, hogy a jobb alsó részmátrixot megkaphat- 
juk, akár az (i2, ji) illetve (iz, ji) elemekből C2 kód szerinti, akár (ii, j2), (i., j3) 
illetve (ii, ja) elemekből Ci kód szerinti kódolással. S miután a Ci x C2 kód line- 
áris, ezért tetszőleges üzenetmátrixú szorzatkód kódszót a 2.4. ábrán is illusztrált 
elem-kódszavakból koordinátánként vett összeadással képezhetjük. 
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C2 Ci Ci C2 


adat 
ki 


belső külső L[: 
dekódoló dekódoló [ ! 


kódoló dekódoló 





I GYA SSAS JYAREES ! 


2.5. ábra. Kaszkád kódoló 


Annak igazolása, hogy a szorzatkód kódtávolsága a komponenskódok távolsá- 
gainak szorzata, a minimális nemzérus súlyú, azaz d1 : da súlyú kódszó előállításá- 
val történhet. Válasszunk ehhez egy-egy minimális súlyú kódszót a C! illetve C? 
kódból, amelyeket jelöljön c" illetve c", ekkor egy minimális súlyú mátrix-kódszó 
az i-edik sorában a c" kódszót tartalmazza, ha c" i-edik komponense 1, egyébként 
a csupa zérus kódszó kerül a sorba. Az, hogy a kapott kódszó minimális súlyú, 
onnan látható, hogy ha nem minimális súlyú c" kódszót helyeznénk el valamelyik 
sorba, akkor több nemzérus oszlopot kellene elhelyezni a mátrixban a Ci kódszavai 
közül és viszont. 


2.15. példa. Az egyik legismertebb és egyben legegyszerűbb konstrukciójú hiba- 
javító kód a kétdimenziós paritáskód. Ez egy C x C szorzatkód, ahol a C kom- 
ponenskód (n,n — 1,2) paraméterű egy paritásbittel rendelkező, egy hibát jelző 
bináris kód. A kapott szorzatkód kódtávolsága 4, azaz egyszerű paritásbites konst- 
rukcióval 1 hiba javítására vagy 3 hiba jelzésére alkalmas kódot kaptunk. 


Kaszkád kódok 


Vegyünk egy C1(ni,ki,di1) GF(g) feletti és egy C2(N2,K2,D2) GF(g9) 
feletti lineáris kódot, amelyből az alábbi módon generálhatjuk a szisztematikus, 
C(niN2 , ki Ka ,d ) paraméterű GF(g) feletti kaszkád kód kódszavait. A k1K2 hosszú 
üzenetet osszuk fel K2, egyenként ki hosszú szegmensre. A C; kód egy ki hosszú 
üzenetszegmenst egy üzenetkarakternek vesz, és K; ilyen karakter alkot számára 
egy üzenetszegmenst, amelyből N2 karakter hosszúságú kódszót képez N2 — K2 pa- 
ritáskarakternek az üzenethez való illesztésével. A C2-beli kódszó elkészülte után 
a kódszó mindegyik koordinátáját a Ci kód kódolója újra ki hosszúságú üzenetként 
értelmezi, és ni — ki paritáskarakterrel kiegészíti. Így kapjuk az n1N2 hosszú kód- 
szót, ami a kaszkád kód adott k1K2 hosszú üzenethez tartozó kódszava. A kaszkád 
kód kódtávolsága d 2 d1D2. 

A Ci kódot belső, a C; kódot külső kódnak is nevezik. A kód az elnevezését 
onnan kapta, hogy a külső kód kódolójának és a belső kód kódolójának a kaszkádba 
kötése képezi a generált kód kódolóját (2.5. ábra). 

A dekódolás során először a Ci kódszavakat dekódoljuk, majd értelemszerűen, 
a Ci kódszavai paritásszegmensének törlése után a C2 kódszó dekódolását végez- 
zük el. 
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A kaszkád kódok igen alkalmasak az együttes csomós és véletlen hibák javítá- 
sára, ahol a csomós hibákat a C; kód, a véletlen hibákat a Ci kód javítja elsősorban. 
A C; kód egy karakterének tetszőleges meghibásodása legfeljebb ki méretű g-áris 
hibaszámnak felel meg. Ugyanakkor ritka egyedi hibák javítása C1-beli kódszavak- 
ban könnyen elvégezhető, míg ezen egyedi hibák C2-beli karakterszintű javítása 


, pazarlás" lenne. 


Rövidített kód 


Egy C(n,k) kód rövidítésével egy C(n—i,k—i), 1 £ i c kkódot kapunk olyan 
módon, hogy a C(n,k) szisztematikus kód kódszavai közül csak azokat hagyjuk 
meg, amelyek az első i karakterén zérust tartalmazó üzenetekhez rendeltek. Ek- 
kor a C(n,k) kód i karakterrel történő rövidítéséről beszélünk. Mivel a rövidített 
kód kódszavai a C(n,k) kód kódszavai is egyben, ezért a rövidített kód minimális 
távolsága legalább akkora, mint az eredeti kódé volt. Praktikusan természetesen 
a kódoló és a dekódoló úgy van kiképezve, hogy az első i zérus karaktert nem is 
továbbítjuk, s a dekóder zérusnak tekinti azokat. A kódrövidítés elsődleges célja a 


kódhossznak az alkalmazásbeli paraméterekhez való igazítása. 


2.16. példa. Konstruáljunk kódszórövidítés módszerével 5 bit hosszon 1 bit hiba 
javítására bináris kódot. Ehhez rövidítsük a g(x) — x? 1-x-- 1 generátorpolinomú 
Hamming-kódot. A rövidített kód az alapkód altere, amelynek szavai az eredeti 
kód rövidítésnek megfelelő számú 0 bittel kezdődő kódszavai. Az alapkód sziszte- 
matikus generátormátrixa 

1000101 

0100111 

0010110 

0001011 


amelynek alapján a keresett alteret a 


10110 
ús [0 


mátrix generálja, ahonnan a keresett kód szavai: 


(00000), (10110), (01011), (11101). 


Pod 


Paritásbittel bővítés 


4.2 


A paritáskarakterrel történő kiegészítés után a C(n,k) bináris lineáris alapkód- 
ból egy C(n-- 1,k) lineáris kódot kapunk, amelynek a minimális távolsága az alap- 
kód d minimális távolságával azonos, ha d páros, illetve d -- 1 lesz, ha d páratlan. 
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A HG; paritásmátrix Hc ismeretében az alábbi alakú: 


11 1 ---.1 
0 
H2—-] He : (2.9) 
0 
0 


2.17. példa. Adjuk meg a C(7,4) Hamming-kód C(8, 4) paritásbittel bővített kód- 
jának paritásmátrixát. Az x? 1-x 4 1 generátorpolinomú Hamming-kód bővítésével 
a (2.9) képlet alapján 

11111111 
5. 00101110 
C 01011100 


10010110 


A kapott C(8,4) kód nyilván nem ciklikus, például a (10001101) a C kódszava, 
de (11000110) már nem az. A bővített kód minimális távolsága 4, ezért 3 véletlen 
hiba detektálására alkalmas. 


2.3. Hibajavítás és hibajelzés hibavalószínűsége 


A bináris kommunikációs csatorna egyik modellje az emlékezetnélküli bináris szim- 
metrikus csatorna p hibázási valószínűséggel (röviden emlékezetnélküli BSC(p)). 
Ekkor az egyes bitek átvitele során függetlenül adódnak a meghibásodások, to- 
vábbá annak az eseménynek valószínűsége, hogy 0 (1) bit átvitele esetén hibásan 
1 (0) bit jelenik meg a csatorna kimenetén, p valószínűségű. 

A kódszavak körüli döntési tartományok t sugarú gömbök, ezért a következő 
felső becslést kapjuk a hibajavító dekódolás kódszó-hibavalószínűségére: 


Ea : : 
P, £1— (1—p)"t. 2.10 
e £ 23 () p(1-p) (2.10) 
Ha a kód perfekt, akkor a t sugarú gömbök hézagmentesen kitöltik az n bit hosszú 
szavak terét, ezért egy 1-nél nagyobb Hamming-súlyú hiba mindig téves dekódo- 
lásra vezet. Így (2.10) jobb oldali formulája a hibavalószínűség pontos értékét adja. 
Például Hamming-kód esetén a 





Pecorr —1—((1—p)"--np(1—p)) 2.11 


formulát kapjuk. Táblázatos szindróma dekódolás esetén tetszőleges kódra ugyan- 
csak pontosan meg tudjuk adni a hibajavítás hibavalószínűségét a tekintett emlé- 
kezetnélküli BSC(p) csatorna esetén. A javítható hibavektorok halmazát jelölje 
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B, amely perfekt kód esetén a zéró vektor körüli t sugarú gömb, egyéb esetekben 
ennél bővebb (lásd az alábbi példát). A hibavalószínűség formulája az alábbi: 


Page E gedídapj vet 2.12) 
ceB0) 


Tekintsük most a hibajelzés esetét. Ezesetben pontosan akkor keletkezik hiba, ha 
a vett szó egy nemzérus kódszóval egyezik meg, amely különbözik a továbbított 
kódszótól. Lineáris kód esetén ez az esemény ekvivalens azzal az eseménnyel, 
hogy a hibavektor valamely nemzérus kódszóval egyenlő. Így kapjuk egy C lineáris 
hibajelző blokk kód és emlékezetnélküli BSC(p) csatorna esetén az alábbi általános 
formulát a hibajelzés hibavalószínűségére: 


Bags Y pap ve (2.13) 
ceCf0t 


2.18. példa. Tekintsük a következő generátormátrixszal definiált kódot: 
11001 
kajüt [6 1 mi I 


A kódot emlékezetnélküli BSC(p) csatornán hibajelzésre illetve hibajavításra hasz- 
náljuk. Adjuk meg mindkét alkalmazás esetén a hibázás valószínűségét! 


1. Hibajelzés esete: 
Hibajelzés hibája akkor következik be, ha a hibavektor pontosan egy nem- 
zérus kódszónak felel meg. A (2.13) képletet alkalmazva, tekintettel hogy 
a kódnak 3 nemzérus kódszava lözül kettő kódszó 3 súlyú, egy 4 súlyú, a 
következő eredmény adódik: P, det — 2p"(1— p)2? a pt(1 — p). 


2. Hibajavítás esete: 
A standard elrendezési táblázat az alábbi: 


00000 11001 OIIIO I1IOIII 
00001 11000 OLIIII 10110 
00010 IIOII 01100 10101 
00100 IIIOI 01010 10011 
01000 10001 00110 IIIII 
10000 01001 IIIIO 00111 
00011 IIO1I0 OLIO0I 10100 
10001 01000 IIIII 00110 


Ezen táblázatban minden lehetséges vett szó fel van sorolva, s oszloponként 
látható az egyes kódszavak döntési tartománya. Az utolsó két sorban vannak 
olyan szavak, amelyek azonos távolságban vannak több kódszótól is, s ezek 
döntési tartományba helyezése önkényes (szerencsére az adott statisztikai 
csatornamodell erre érzéketlen). Ennek megfelelően dekódolási hiba akkor 
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keletkezik, ha egy kódszó úgy hibásodik meg, hogy a vett szó már kívül esik 
a kódszó körüli döntési tartományon. Az egyes kódszavak átküldését azonos 
valószínűségűnek véve 





P,—1—((1—p)-45p(1—p)t--2p?(1 — p)"). 


2.9. Alkalmazások 


Teletext kód. A (7,4)-es Hamming-kódot egy páratlan paritásúra kiegészítő pa- 
ritásbittel kapunk egy (8, 4) paraméterű, továbbra is egy hibát javító kódot, amelyet 
a Teletextben használnak. 


CRC. A ciklikus kódok gyakorlata a leghosszabb múlttal a hibajelzés területén 
rendelkezik, amikor a kód bináris, a kódokat a szabványok generátorpolinomjuk 
segítségével adják meg és generálásuk a 2.19. tétel bizonyításában leírt módon, 
a generátorpolinom szerinti maradékos osztással, szisztematikusan történik. Eze- 
ket a kódokat CRC kódoknak hívják (Cyclic Redundancy Check). A hibajelzést 
legtöbbször zajos, visszacsatolásos csatornáknál használják, amikor a vevő hiba 
detektálása esetén értesíti az adót, amely ezután az adást ugyanazzal a kóddal 
vagy egy jobbal megismétli. Ezt az eljárást ARO-nak nevezzük (Automatic Repeat 
reOuest). 

A CCITT 16 paritásbitet tartalmazó szabványában a CRC generátorpolinomja 


g1(x) —x1€ 4x2 3401. 


Ezt a generátorpolinomot alkalmazzák pl. az SNC 2653 (Polinomial Generator 
Checker), Intel 82586 (Local Communication Controller), Intel 8274 (Multi-Pro- 
tocol Serial Controller), Signetics 2652 (Multi-Protocol Communications Circuit) 
integrált áramkörökben. A két utóbbiban még választhatjuk a 


g2(x) — xx hi 


polinomot is. Az Intel 82586-os Ethernet chip tartalmaz egy 32 bites generátorpo- 
linomot is: 


BARI p eze expó bx be rókx bx I 





830) — 71-05 4 x 


A 2.17. tétel értelmében ezek a polinomok akkor generátorpolinomjai cikli- 
kus kódoknak, ha osztják az x" — 1 polinomot, tehát csak bizonyos kódszóhosz- 
szakra ciklikus kódok. Ugyanakkor erre nem figyelmeztetik a felhasználót. Ez 
azért nem okoz problémát, mert tetszőleges üzenethossz esetén azért jó kódot ka- 
punk, ugyanis az vagy eleve ciklikus, vagy egy ciklikus kód rövidítése. Legyen C 
egy (n,k) paraméterű szisztematikus lineáris kód és k" c k. Egy 


u — (ug, U1 , . . . , Ur) 
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üzenethez rendeljük a k hosszú 
u — (0,0,... 0, ug, 44, . . . u) 
üzenetet, ahhoz a 
c — (0,0,...,O,ug, U, . . . , Ul, Cka1, Ck2  . .Cn) 
kódszót és ahhoz a rövidített kódszót: 
C — (ug, Ul, . . , Ur, Ckar1, Ckr2 r-r Cn) 
Az ilyen c" kódszavak C" halmazát nevezzük a C kód rövidített kódjának. Nyilván 
n—n -k—k 


és C" kódtávolsága legalább akkora, mint a C kódé. 

Ez utóbbi miatt elég összefoglalni a CRC kódok alapvető tulajdonságait akkor, 
amikor az ciklikus kód, azaz az n kódszóhosszra a generátorpolinom osztja x" — 1- 
et. 

Ezek után legyen n az a legkisebb természetes szám, melyre g1(x) [ x" — I, és 
jelölje C az (n,n— 16) paraméterű, ciklikus, lineáris kódot, melynek a generátor- 
polinomja g1(x), ekkor 


1. tulajdonság: n — 255— 1 — 32767. 

2. tulajdonság: C jelez minden legfeljebb 3 súlyú hibát. 
3. tulajdonság: C jelez minden páratlan súlyú hibát. 
4 


. tulajdonság: C jelez minden olyan hibát, ahol a hibahelyek maximumának és 
minimumának a távolsága kisebb, mint 16. (Ez utóbbit úgy szokás mondani, 
hogy a kód jelez minden legfeljebb 16 hosszú hibacsomót.) 


Közvetlen műholdas műsorszórás. A közvetlen műholdas műsorszórás (Direct 
Broadcasting Satellite, DBS) digitalizált hangját is hibajavító kóddal védik. Így a 
D2-MAC/PACKET szabványa szerint az egyik változatban a 14 bites hangminta 
felső 11 bitjét egy (16,11) paraméterű kóddal kódolják, ami a (15,11) paramé- 
terű Hamming-kód kiegészítése egy páratlan paritásbittel. A másik változatban a 
10 bites hangminta felső 6 bitjét kódolják egy (11,6)-os kóddal. Megjegyezzük 
még, hogy a csomagolt, kódolt beszédmintákat egy olyan csomagfejjel látják el, 
melyet 2 hibát javító (71,57) ill. (94,80) paraméterű úgynevezett BCH-kóddal 
védenek, míg a legfontosabb adatokat, az úgynevezett szolgáltatásazonosítást egy 
három hibát javító (23,12) paraméterű Golay-kóddal kódolják. Ennek a kódnak 
a kódtávolsága 7, ezért 3 hibát tud javítani. Könnyen ellenőrizhető, hogy a kód 
paramétereire a Hamming-korlátban az egyenlőség teljesül: 


35.723 ai 
X(7)-s 
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tehát ez a kód perfekt. Eredetileg Golay a kódot szisztematikus generátormátrixá- 
val adta meg: 


10000000000011011100010 
01000000000001101110001 
00100000000010110111000 
00010000000001011011100 
00001000000000101101110 
00000100000000010110111 
00000010000010001011011 
00000001000011000101101 
00000000100011100010110 
00000000010001110001011 
00000000001010111000101 
O0OO0OOOOOOOOOLL I LII 1L1I1111 


Kiderült, hogy ez a kód ciklikus is, és a generátorpolinomja 


200) —x thx 6 ho -kxt ha 1. 


Ugyanilyen paraméterű kódot kapunk a 





209 —x! hr x 161 bx-k1 


generátorpolinommal. Ezek valóban 23 hosszú ciklikus kódok generátorpolinom- 
jai, ugyanis 

ezhjememexr el 
Mivel a g(x) együtthatói közül 7 darab 1, ezért a minimális súly nem lehet 7-nél 
nagyobb. Megmutatható, hogy pontosan 7: 


2.24. tétel. A (23,12) paraméterű Golay-kód egy 3 hibát javító perfekt, lineáris, 
ciklikus kód. 


Compact Disc hibavédelme. A digitális hangrögzítésben (CD és DAT) alkalma- 
zott hibavédelem Reed-Solomon-kódra épül. A kódolási eljárás lényegét közelí- 
tőleg a következő módon lehet összefoglalni: a 44.1 kHz-cel mintavételezett és 16 
bitre kvantált mintákat két bájtban ábrázoljuk, és egy mátrixba írjuk be oszlopfoly- 
tonosan. 
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rögzítés iránya 





XI.1 X71 XI3.4 "t"XI391 F.A Fi2 Fi3 FIA 
X1.2 X72 X13.2 """ X1392 Fa Pf22 M3 PMA 
XI1 971 Y131 """ Y1391 F31 F32 F33 F34 
Y1.2 972 9132 """ Y1392 Fan TF4a2 Fa3 TF44 


mintavétel iránya 


X61 X12,1 XI8,1 """ X144,1 F21,1 F21,2 F21,3 F21A 
X62 X12,2 X18,2 """ X144,2 F22,1 F222 F223 F22A 
Y6,1 Y12,1 Y18,1 """ Y144,1 F23,1 F23,2 F23,3 F234 
Y6,2 Y12,2 Y18,2 """ V144.2 F24 1 F242 F243 F244 
di11 di2 di3 """ d1.24 d1,25 d1,26 d1,27 41.28 
g21 d22 d23 """ d2.24 d2.25 d2.26 d2.27 42.28 
g31 d3.2 d33 """ d3.24 43.25 43.26 43.27 43.28 
d41 d42 d43 """ d424 d425 d426 d4.27 d4.28 


Nevezetesen egy 24 x 24-es mátrix oszlopai egymás után következő 6 mintavételi 
időpontban vett két minta (bal és jobb hangcsatorna) 2 x 2 — 4 bájtját tartalmaz- 
zák. Ha x; 1, xi.2 jelöli a jobb csatorna mintáját az i-edik időpillanatban, és Y; 1 , Yi.2 
a bal csatornáét, akkor a fenti ábra mutatja a minták beírását a táblázatba. A kapott 
24 x 24-es mátrix minden oszlopát kódoljuk egy (28,24) paraméterű, GF(2) fe- 
letti szisztematikus Reed-Solomon-kóddal. A j-edik oszlop paritásbájtjait jelöltük 
di, j.d2.j.d3,j. da, j-vel. Ennek a kódnak a kódtávolsága 5, tehát 4 hibát tud jelezni, 
2 egyszerű hibát tud javítani és 4 törléses hibát tud javítani. A digitális lemezen 
előforduló hibák jól modellezhetők egy kétállapotú csatornával. Az egyik állapo- 
tot nevezzük JÓ állapotnak, melyben átlagosan 10000—-20000 bitideig tartózkodik, 
és ekkor a hibák előfordulása független egymástól és valószínűsége kb. 1079. A 
másik állapotot nevezzük ROSSZ állapotnak, amiben 30-40 bitideig tartózkodik, 
és ekkor gyakorlatilag használhatatlan a vétel. Ekkor azt mondjuk, hogy a hibázás 
csomós (burst-ös). Az ilyen csatornák kódolására találták ki a kódátfűzés (inter- 
leaving) technikát, amikor az előbbi mátrixot sorfolytonosan olvassák ki, de előtte 
minden sort kódolnak ugyanazzal a (28,24) paraméterű Reed-Solomon-kóddal. A 
J-edik sor paritásbájtjait jelöli ri 1,rj.2,Tj,3.T ja. Ennek előnye az, hogy a fizikailag 
összefüggő, csomós hiba hatását több kódszóra osztja szét. 

A Sony és a Philips megegyezett a fentihez hasonló (kicsit bonyolultabb) kó- 
dolásban azért, hogy a tömeges digitális hanglemezgyártás elindulhasson. A ver- 
seny nyitott viszont a lejátszó készülékben, vagyis a dekódolás terén. A különböző 
dekódolások igaziból a következő egyszerű eljárás finomításai: számítsuk ki so- 
ronként a szindrómát! Ha a szindróma 0, akkor azzal a sorral készen vagyunk. 
Ha 1 hiba volt, akkor azt kijavítjuk. Ha 2 hiba volt, akkor azt kijavítjuk, és az 
oszloponkénti javításhoz ezeket a hibahelyeket megjegyezzük, azaz mesterségesen 
törléses hibákat generálunk. Minden egyéb esetben az egész sort törléses hiba- 
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ként regisztráljuk. Ezek után oszloponként javítunk, ha ott legfeljebb két törléses 
hiba volt (emlékeztetünk, hogy 4 törléses hibát képes a rendszer javítani). Ha a 
hibák száma nagyobb, mint 2, akkor a környező hibátlan mintákból interpolálunk. 
Látható, hogy a hibajavítás nem használja ki a Reed-Solomon-kód hibajavítási 
lehetőségeit, aminek elsősorban technológiai okai vannak, mivel a dekódolás bo- 
nyolultsága a javítandó hibák számának négyzetével arányos, és itt igen gyorsan 
kell dekódolni (a forrás sebessége 2 - 44100 - 16 — 1.4112 Mbit/sec) 


2.10. Feladatok 


Lineáris blokk-kódok 


2.1. feladat. Egy (0, 1,2) kódábécéjű GF(3) feletti lineáris kód generátormátrixa: 
1021 
ts 162 
Adja meg a kódszavakat, valamint a d minimális távolságot! 


2.2. feladat. Egy lineáris bináris kód paritásellenőrző mátrixa 
H — (1 1111 1). Adja meg a kód következő paramétereit: n,k,d, kódszavak 
száma! 


2.3. feladat. Egy lineáris bináris blokk-kód generátormátrixa: 


10110 
sz örol 


Adja meg 

a) a kód paramétereit: n.k, d, 

b) standard elrendezési táblázatát, 
c) szindróma dekódolási táblázatát, 


d) a kódszó dekódolási hibavalószínűséget emlékezetnélküli BSC(p) esetére! 


2.4. feladat. Egy lineáris bináris kód paritásellenőrző mátrixa: 


11100 
H— ( 10010 
11001 


Adja meg a szindróma dekódolási táblázatot! 
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2.5. feladat. Egy lineáris bináris kód generátormátrixa az alábbi: 


101011 
G — ( 011101 
011010 


Adja meg: 
a) egy ekvivalens szisztematikus kód generátor- és paritásellenőrző mátrixát, 


b) a duális kód kódszavait (duális kód — a paritásellenőrző mátrix mint generátor- 
mátrix által generált kód). 


2.6. feladat. Adja meg a GF(4) feletti C(4, 2) paraméterű, 
1022 
de (58 
generátormátrixú kód szindróma dekódolási táblázatát! 060, 1€1,26 x, 
36 x11) 





2.7. feladat. Definiáljon egy (5, 3) paraméterű GF(4) feletti kódot a generátormát- 
rixa, amely 
10011 
G — ( 01012 
00113 


a) Mennyi a kód minimális távolsága? 
b) Perfekt-e a kód? 


c) Mi lehetett az átküldött kódszó, ha a vett szó (1? 1 3 ?) ? 
A kód tisztán 0, 1 elemeket tartalmazó kódszavakat is tartalmaz. 


d) Adja meg a bináris kódszavakat! 


e) Igazolja, hogy ezen bináris kódszavak lineáris részkódot alkotnak az eredeti 
kódban! 


f) Adja meg ezen részkód (n,k, d) paraméterhármasát! 
g) Adja meg a részkód generátormátrixát! 
2.8. feladat. Egy GF(5) feletti (5, 3) paraméterű lineáris kód kódszavai között van- 


nak a (0,1,0,1,2), (1,0,0,1,4), (0,0,1,1,3) szavak is. Adja meg a kód hibajavító 
képességét! 


2.9. feladat. Adja meg egy (21,18) paraméterű GF(4) feletti, egy hibát javító kód 
paritásmátrixát és generátormátrixát. 
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2.10. feladat. Adja meg a legkisebb kódszóhosszú GF(3) feletti, 1 hibát javító, 
k — 2 üzenethosszú szisztematikus kódot paritásellenőrző mátrixával! 


2.11. feladat. Létezik-e C(n,k), n— k — 2, GF) feletti 1 hibát javító kód? Ha 
igen, adja meg szisztematikus mátrixaival! 


2.12. feladat. Adja meg a C(n, 1,d — n) paraméterű bináris kód C" duális kódját 
(duális kód — paritásellenőrző mátrix mint generátormátrix által generált kód), s 
annak paraméterhármasát! Adja meg C" szavait n — 4 esetén! 


2.13. feladat. Létezhet-e olyan GF(g) feletti lineáris blokk-kód, amelynek gene- 
rátormátrixa egyben a kód paritásellenőrző mátrixa 15? Ha válasza igen, mutasson 
példát rá, mind g — 2, mind pedig g - 2 esetben. 


2.14. feladat. Valaki azt állítja, hogy ha egy C(n— 2m — 1,k) lineáris bináris kód- 
nak a csupa 1 kódszó eleme, akkor pontosan eggyel kevesebb páros paritású nem- 
zérus kódszava van, mint páratlan paritású. Igaza van-e? 


2.15. feladat. Legyen C(n,k) egy lineáris bináris blokk-kód, amelynek generátor- 
mátrixában nincsen csupa Zérus oszlop. Igaz-e, hogy az összes kódszó egyeseinek 
összesített darabszáma n 271? 


2.16. feladat. Egy GF(g) feletti lineáris blokk-kód paritásellenőrző mátrixa 
111 -- 1 
H— § a oz áéi 75) ? 
ahol c a test primitív eleme. Adja meg a kódtávolságot! 


2.17. feladat. A legegyszerűbb konstrukciójú hibajavításra már alkalmas nemtri- 
viális kód a kétdimenziós bináris paritáskód. (Az üzenetet mátrixba rendezzük, 
soronként és oszloponként paritásbittel egészítjük ki, majd a jobb alsó sarokba ír- 
juk a paritások paritását.) Mennyi a minimális távolság? 


2.18. feladat. Igazolja, hogy a kétdimenziós bináris paritáskód jobb alsó paritás- 
elemét (azaz a paritások paritását) képezhetjük akár a sorparitások paritásaként, 
akár az oszlopparitások paritásaként, azaz mindkét esetben azonos eredményre ju- 
tunk. 


2.19. feladat. Konstruáljon egy GF(g), g — 2" feletti (g-3-1,g— 1) paraméterű 1 
hibát javító lineáris blokk-kódot. 
a) Adja meg a szisztematikus paritásellenőrző mátrixot! 


b) Perfekt-e a kód? 





c) Adja meg g — 4 esetre a generátormátrixot! (060, 1E€1,2€x,36x11) 
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2.20. feladat. Igaz-e, hogy tetszőleges C(n,k, d — 3) paraméterű lineáris kódot egy 
paritásszimbólummal kiegészítve C"(n--1,k,d — 4) paraméterű kódot kapunk? 


Kalkulus 


2.21. feladat. Tekintse az S — (0,1,2,3) halmazt az alábbi műveleti táblák sze- 
rinti ,, 4" és , x" műveletekkel: 


10123 x0123 
00123 00000 
11230 10123 
22301 20231 
33012 30312 


Testet kapunk-e? 
2.22. feladat. Konstruálja meg GF(4) műveleti tábláit! 
2.23. feladat. Konstruálja meg GF(8) műveleti tábláit: 


a) Az x? 1-x-1 bináris irreducíbilis polinom felhasználásával! 


b) Ismételje meg a konstrukciót az x? --x? 4-1 bináris irreducíbilis polinom fel- 
használásával, s mutassa meg hogy a két test izomorf (az elemek átnevezésével 
azonos műveleti táblákhoz jutunk)! 


2.24. feladat. Legyen adva GF(4) a következő műveleti táblákkal: 


10123 x0123 
00123 00000 
11032 10123 
22301 20231 
33210 30312 


a) Oldja meg az alábbi GF(4) feletti egyenletrendszert: 


2xty-3 
x-42y—-—3 


b) Számítsa ki az alábbi GF(4) feletti mátrix determinánsát! 


2.12 
det 1121 —? 
101 
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2.25. feladat. Adja meg az x-- 1 € GF(8) polinom alakban megadott testelem in- 
verzét, ha x" -x? -- 1 az aritmetika generáló polinom! 


2.26. feladat. 
a) Mutassa meg, hogy a p(x) — x? 1-x 42 GFG) feletti polinom irreducíbilis! 
b) Adja meg GH(27) elemeinek rendjét! 


c) Mi az x polinom által reprezentált elem rendje GH(27)-ben, ha p(x) az aritme- 
tika generáló polinom? 


2.27. feladat. Konstruálja meg GF(9) műveleti tábláit! 
Segítség: f(x) — x2 4 x-1-1 GF(3) feletti irreducíbilis (primitív) polinomot hasz- 
nálhatja aritmetika generálásra. 


2.28. feladat. A GFH(16) test összeadó- és szorzótábláját többféleképpen is meg- 
konstruálhatjuk: 


a) GF(2) feletti 4-edfokú irreducíbilis polinommal, 


b) GF(4) feletti másodfokú irreducíbilis polinommal. 

Kövessük a b) utat! 

Segítség: A polinomegyütthatók aritmetikája GF(4), amelyhez a műveleti táblák 
például a 2.24. feladatnál találhatók. Az aritmetika generáló polinomot szita mód- 
szerrel kaphatjuk. Ezzel az alábbi másodfokú GF(4) feletti irreducíbilis polinomo- 
kat kapjuk: x2 3-xt2,x" hx-42 xt h2xit 1, x2-H2x1 2, x" 3 3x1- 1, x2 3-3x 1-3. 





Ciklikus kódok 


2.29. feladat. Valaki azt állítja, hogy egy 1 hibát javító bináris ciklikus kód egyik 
szava 0001111. Lehetséges ez? 


2.30. feladat. Tekintsük a g(x) — x" 3 x? 4-1 generátorpolinomú, n — 7 kódszó- 
hosszú bináris Hamming-kódot. 


a) Adja meg a kód h(x) paritásellenőrző polinomját és szisztematikus alakú gene- 
rátormátrixát! 
b) Tekintsük a kód nem páros súlyú szavainak halmazát. Adja meg ezen részkód 


méretét, valamint minimális távolságát! 


c) Tekintsük a nem páratlan súlyú szavainak halmazát. Lineáris, illetve ciklikus-e 
ez a halmaz, s mik a paraméterei? 


2.31. feladat. A g(x) — x? 1-x-k 1 bináris polinom egy 7 kódszóhosszú Hamming- 
kód generátorpolinomja. Adja meg 
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a) a kódszavak halmazát, 

b) a minimális távolságot, 

c) a paritásellenőrző polinomot! 

2.32. feladat. Egy n — 7 kódszóhosszú bináris ciklikus blokk-kód generátorpoli- 
nomja g(x) —x— 1. Adja meg a 

a) lehetséges kódszósúlyokat, és a k, d paramétereket, 

b) paritásellenőrző polinomot, 

c) szisztematikus paritásmátrixot! 

2.33. feladat. Egy n — 7 hosszú bináris ciklikus kód generátorpolinomja g(x) — 
x6 30 xx xx 1. Adja meg a kódszavak halmazát! 

2.34. feladat. 

a) Hány különböző 7 kódszóhosszú bináris ciklikus kód van? 

b) Adja meg (n,k,d) paramétereivel és g(x) generátorpolinomjával az összes le- 


hetséges bináris n — 7 kódszóhosszú ciklikus kódot! 


2.35. feladat. Egy C" kódot úgy származtatunk, hogy egy g(x) generátorpolinomú 
C(n,k), GF(g) feletti Reed-Solomon-kód kódszavait tükrözzük, azaz elemeit for- 
dított sorrendben tekintjük (ci — cn-1-i, 1—0,1,...,n— 1). 


a) Ciklikus-e C"? 
b) Ha az a) kérdésre a válasz igen, akkor adja meg a C" kód g"(x) generátorpoli- 
nomját g(x) alapján, továbbá annak gyökeit, ha g(x) gyökei O1, 02, . . . , On k. 


2.36. feladat. Egy C(n,k), n —2" — 1 bináris ciklikus kód g(x) generátorpolinom- 
ját osztja az x-- 1 polinom. Eleme-e a kódnak a csupa 1 szó? 


2.37. feladat. Egy C1(n,ki , d1) illetve egy C2(n,k2 , do) ciklikus kód h1(x) illetve 
h2(x) paritásellenőrző polinomja közötti kapcsolat hi(x) I ho(x). Mi a kapcso- 
lat: 


a) Ci és C; között, 

b) d!1 és d? között? 

2.38. feladat. Egy C1(ni,k1) ciklikus kód egy C2(n2,k2) ciklikus kód részkódja. 
Mi az algebrai kapcsolat a megfelelő 

a) hi(x),h2(x) paritásellenőrző polinomok között, 


b) g1(x),22(x) generátorpolinomok között? 
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2.39. feladat. Igazolja, hogy egy h(x) paritásellenőrző polinomú ciklikus kód pa- 
ritásellenőrző mátrixának sorait a (0,0, . . . , hx,hk-1, . . . ho) vektor ciklikus eltolá- 
saival nyerhetjük. 

Segítség: 

Ellenőrizze, hogy az így kapott H sorai lineárisan függetlenek és ortogonálisak a 
kódszavakra. 


2.40. feladat. Képezzük a CRC-t a g(x) — x" 1-x? --x? 1-1 generátorpolinommal. 
Jelez-e hibát a detektor, ha a vett szó v — (0000000100111011), ahol a jobb oldali 
bit a zéró helyiértékű? 


2.41. feladat. A következőket állítja valaki: 

a) Egy C(n,k) ciklikus lineáris kód h(x) paritásellenőrző polinomját használhatom 
egy n kódszóhosszú C" kód generátorpolinomjaként. 

b) A C" kód minimális kódtávolsága elérheti a k -- 2 értéket is. 

Igazak-e az állítások? 


Kódkorlátok 


2.42. feladat. Konstruálható-e n — 11,k — 5 paraméterű t — 2 hibát javító bináris 
kód? 


2.43. feladat. Valaki azt állítja, hogy olyan kódot tervezett, amely 7 redundancia- 
karakterrel meghosszabbítja az üzenetblokkot, és 4 véletlen hibát képes javítani a 
kódszóban. Lehetséges ez? 


2.44. feladat. Létezik-e C(n,k), n— k — 2, GFG) feletti egy hibát javító kód? Ha 
igen adjon példát, megadva a szisztematikus paritásellenőrző mátrixát és a kódsza- 
valt! 


2.45. feladat. Perfekt-e a ((1111111),(0000000)) kódszavakat tartal- 
mazó kód? 


2.46. feladat. Perfekt-e egy C(11,6) paraméterű GH(3) feletti 2 hibát javító kód? 


RS-kódok 


2.47. feladat. Tekintsünk egy GF(I1) feletti Reed-Solomon-kódot g(x) — 
(x—2)(x—4)(x— 8)(x— 5) generátorpolinommal. Adja meg a kód következő jel- 
lemzőit: minimális távolság (d), hibajavító képesség (z.), hibadetektáló képesség 
(ta), törlésjavító képesség (te)! 
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2.48. feladat. Adja meg egy GKI1) feletti három hibát javító, n — 10 szóhosszú 
Reed-Solomon-kód paramétereit, generátorpolinomját, paritásellenőrző polinom- 
ját! 


2.49. feladat. Eleme-e az (1,1,...,1) csupa 1 vektor egy GF(g) feletti C(n,k), 
n — g— 1] Reed-Solomon-kódnak, ahol a generátorpolinom gyökei az C primitív 
elem 0, 1, 2, . .. ,1— k— 1 hatványai? 


2.50. feladat. Egy t hibát javító GF(g) feletti Reed-Solomon-kód generátorpoli- 
nomjának gyöke az a primitív elem 2, . . . , 21--edik hatványa. Lehetséges-e, hogy a 
kódszavak elemeinek (koordinátáinak) összege a test zéró eleme legyen? 


2.51. feladat. Legyen a) — (1, or, 07, véli , an r), r-0,l,...,n—1, ahol a E 
GF(g) egy n-edrendű elem. Igaz-e, hogy ha egy C(n,k) kód G generátormátrixának 
sorai rendre 0"), r — 0, 1, . . . k — 1, akkor H mátrixának sorai lehetnek rendre az 
a, r—1,...,1—k vektorok? 


2.52. feladat. Legyen a") — (1, ar, o , si , an Dr, r—-0,1,...,n— 1, ahol GF(g) 
egy n-edrendű elem. Van-e olyan C(n,k) kód, amelyre a G és H mátrixainak sorai 
rendre ugyanazok az a) alakú vektorok? 


2.53. feladat. Legyen g(x) — x? 3-x--1 egy C(7,4) bináris Hamming-kód generá- 
torpolinomja. Mutassuk meg, hogy C lineáris részkódja egy C"(7,5) GF(8) feletti 
Reed-Solomon-kódnak! 


2.54. feladat. Igaz-e a következő állítás? Egy C(n,k,d) GF(g) feletti Reed—So- 
lomon-kód kódszavaiból kiemelve bármely, rögzített k méretű koordinátahalmaz 
által meghatározott részvektorokat, azok különbözők a különböző kódszavakra. 


Kódkombinációk, kódmódosítások 


2.55. feladat. Adja meg a g(x) — x? 1-x- 1 generátorpolinomú C(7,4) kód nem 
páratlan súlyú szavai C" részkódjának halmazát, s ezen részkód paramétereit! 


2.56. feladat. Perfekt marad-e a C(n,k) bináris Hamming-kód, ha kódrövidítést 
hajtunk végre, amelynek mértéke 

a) 1 bit, 

b) 2 bit? 

2.57. feladat. A C(7,4) bináris Hamming-kód kódszavait paritáskarakterrel b ővít- 


jük páros paritásúra egészítve ki a kódszavakat. Adja meg a kapott kód paraméte- 
reit! 
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2.58. feladat. A (7,4) bináris Hamming-kódból kiindulva konstruáljon bináris kó- 
dot, amelynek 8 kódszava van, 7 a szóhossza és alkalmas 3 hiba detektálására. 


2.59. feladat. A g(x) — x" 1 x? 4-1 generátorpolinomú szisztematikus Hamming- 
kódon 3 bites kódrövidítést hajtunk végre. 


a) Adja meg a rövidített kód (n,k) paramétereit! 


b) Adja meg a kódszavakat és a kód d paraméterét! 


2.60. feladat. Adja meg a 8 bitnyi kódrövidítéssel kapható kód paramétereit és 
kódszavait, ha a g(x) — x! 4 x-- 1 generátorpolinomú bináris Hamming-kódot rö- 
vidítettük. 


2.61. feladat. Egy bináris lineáris C(n,k,d) kód nem tartalmazza a csupa egye- 
sekből (1) álló kódszót. Mit mondhatunk aC" —Ce1 kódról, ahol € a koordiná- 
tánkénti mod 2 összeadás? 


a) Lineáris-e? 


b) Mik a paraméterei: nm ,k" ,d" ? 
Mit mondhatunk a C" - CUC" kódról, ahol U a halmazegyesítés: 


a) Lineáris-e? 


b) Mik a paraméterei: n",k" d" ? 


2.62. feladat. Egy GF(g) feletti n — g— 1 szóhosszú C Reed-Solomon-kód ge- 
nerátorpolinomjának gyökei GC, o, . . . ,ad-!, a e GF(g). A kódot egy , paritás" 
karakterrel bővítjük, olyan módon, hogy a kódszó karaktereinek testbeli aritmetika 
szerinti összege lesz az n -- 1-edik karakter. MDS tulajdonságú marad-e a kapott g 
szóhosszú kód? 


2.63. feladat. Egy kommunikációs csatornán nagyon ritkán maximum 8 bit hosz- 
szú hibacsomók keletkeznek. A következő beállítható paraméterű kódolási ele- 
mekben gondolkozunk: 


a) bináris Hamming-kódoló, 


b) bájt karakter alapú Reed-Solomon-kódoló, 
valamint alkalmazhatjuk a kódátfűzés technikát is. A cél minimális redundancia 
mellett elvégezni a javítást. Milyen konstrukciót alkalmazzunk? 


2.64. feladat. Mutassuk meg, hogy egy C és a m-szeres átfűzése, C" kód gene- 
rátorpolinomja között a következő egyszerű kapcsolat áll fenn: Ha g(x) a C kód 
generátorpolinomja, akkor g(x") a C" kód generátorpolinomja. 
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Hibajavító dekódolás 


2.65. feladat. Egy GK(I1) feletti lineáris blokk-kód paritásellenőrző mátrixa 
11 1 ---1 

ts É 0 OZ. 209. 
ahol a — 2 a test primitív eleme. 
a) Adja meg a kód paramétereit! 
b) Adja meg a dekódolás menetét az e(x) — 5x? hibapolinom esetére! 
2.66. feladat. Valaki azt állítja, hogy nem feltétlenül kell egy GF(2") feletti C(n — 
2" — 1,k) bináris kód generátorpolinomjában 4 ciklikusan egymás utáni gyöknek 
lennie ahhoz, hogy a kód t — 2 hibát javíthasson. Szerinte az is megfelelő, ha a 


8(x) generátorpolinom olyan, hogy g(a) — g(a7!) — 0, ahol a a GFO") primitív 
eleme. Igaza van-e? 


Segítség: 
A szindrómaegyenletek megoldhatóságnak közvetlen vizsgálatával ellenőrizze az 
állítást. 


2.67. feladat. Valaki a következő gondolatmenetet mondja a társának: 

Én úgy tudom, hogy egy C(n,k) lineáris bináris blokk-kód szindróma dekódolási 
táblázata mindig 2(7-") javítható hibamintát tartalmaz, tehát végülis a minimális tá- 
volságnak nincs jelentősége, s mindegyik (n, k) paraméterű kód egyformán hasznos 
(hasznos — emlékezetnélküli BSC csatornán használva azonos kódszó-dekódolási 
hibavalószínűséget kapunk). Tömör érveléssel tegyen igazságot! Mutasson egy 
egyszerű példát is! 


2.68. feladat. Egy C(n,k) blokk-kód dekódolását szindróma dekódolási táblázat 
alapján végezzük. Az alábbi két állítás közül melyik az igaz és miért? 


a) A dekóder kimenetén az aktuális hibázástól függetlenül mindig valamilyen — 
esetleg hibás — kódszó jelenik meg. 


b) A dekóder a táblázat alapján egyszerűen levon a vett szóból egy hibamintát, 
így súlyosabb hibázás esetén előfordulhat, hogy nem egy kódszó jelenik meg a 
kimeneten. 


2.69. feladat. Van GF(256) aritmetikában gyorsan számoló egységünk. A csa- 
torna hibázása olyan, hogy ritkán, legfeljebb 16 bit hosszú hibacsomók keletkez- 
hetnek. Milyen kódot javasol a javításra, ha maximalizálni szeretnénk a kódolási 
sebességet? 


2.70. feladat. Egy üzenetforrás kimenetén 8 különböző karakter jelenhet meg. Ha 
ezeket a karaktereket az átviteli csatornán továbbítjuk, akkor alkalmanként egy 
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karakter meghibásodik, de két hibás karakter közti távolság legalább 10 karakter. 
Blokk-kódos hibajavítást szeretnénk alkalmazni azzal a megkötéssel, hogy a relatív 
redundancia nem haladhatja meg a 30 90-ot. Javasoljon megoldást a hibajavításra, 
adja meg az alkalmazandó kódot! 


Hibadetekció 


2.71. feladat. Valaki azt állítja, hogy tetszőleges m fokszámú, bináris f(x) po- 
linom, amelynek konstans tagja 1, alkalmas arra, hogy CRC generátorpolinom- 
ként detektáljunk vele tetszőleges, legfeljebb m bit hosszúságú hibacsomagot. (Pl. 
1xxx1 egy 5 hosszú hibacsomag.) Igaza van-e? 


2.72. feladat. Egy hibadetekciós protokollban a 000. ..0011 (két utolsó bitjén 1-et 
tartalmazó) üzenetcsomaghoz a g(x) — x!€ --x!? 4-xő 3-1 szabványos generátorpo- 
linommal ciklikus redundancia ellenőrző összeget (CRC) alkalmazunk. Adja meg 
az ellenőrzőösszeggel ellátott blokkot! 


Hibavalószínűség 


2.73. feladat. Emlékezetnélküli g-áris (0, 1, . ..,g bemeneti ábécé, O, L, . . . , g ki- 
meneti ábécé) csatornán kommunikálunk, ahol a hibázás valószínűsége p 
(P(ilj) —p, i A j). Egy (n,k) paraméterű GF(g) feletti t hibát javító perfekt 
kódot használunk csatornakódként. Adja meg egy kódszó téves dekódolásának 
valószínűségét! 


2.74. feladat. Tekintsük a g(x) — x! 1-x-- 1 generátorpolinomú bináris Hamming- 
kódot. A kódot hibajavításra használjuk. Adja meg egy kódszó téves dekódolásá- 
nak valószínűségét! 

2.75. feladat. A (8,4) paraméterű paritásbittel bővített bináris Hamming-kódot 
hibadetekcióra használjuk p hibázási valószínűségű emlékezetnélküli bináris szim- 
metrikus csatornán. Adja meg a detekció mulasztás valószínűségét! 


2.76. feladat. A C(n,k — 1) paraméterű bináris ismétléses kódot 
a) tisztán törléses csatornán 


b) véletlen bithibázásos csatornán 
használjuk, ahol a törlés illetve hibázás valószínűsége p. Adja meg mindkét eset- 
ben egy kódszó téves dekódolásának valószínűségét! 
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2.77. feladat. 1 bitnyi üzenetet úgy viszünk át a csatornán, hogy ismételjük azt, 
azaz a (00...0) illetve az (11...1) szavak valamelyikét küldjük át. Legyen p — 
0.01 a bithibázás valószínűsége az emlékeznélküli bináris csatornában. Mennyivel 
javul a téves dekódolás valószínűsége, ha n — 3 hosszú szavak helyett n — 5 hosz- 
szúakat használunk? 


2.78. feladat. Az alábbi méretű kétdimenziós paritáskódot paritásellenőrzésre hasz- 
náljuk (u: üzenetbit, p: paritásbit) 


uup 
uup 
PpPDp 


Adja meg a hibadetekció elmulasztásának valószínűségét emlékezetnélküli BSC(p) 
csatorna esetén! 


2.79. feladat. Egy bináris, tisztán törléses emlékezetnélküli csatornán p — 0.05 a 
törlés és 1— p — 0.95 a hibátlan továbbítás valószínűsége. Félbájtos (4 bit) egy- 
ségekben továbbítjuk a forrás információját, amelyet 4 bit redundanciával kiegé- 
szítünk kódszóvá. Hasonlítsuk össze az alábbi két kódolási eljárást a kódolási 
hatékonyság szempontjából: 


a) a redundancia nem más mint az üzenet félbájt megismétlése, 


b) a (8,4) paraméterű, paritásbittel kiegészített Hamming-kódot használjuk. 


2.80. feladat. Tisztán törléses hibát okozó emlékezetnélküli bináris csatornán p — 
0.05 a törlés valószínűsége. 4 bites üzeneteinket paritásbittel bővített (7,4) Ham- 
ming-kóddal továbbítjuk. Elfogadhatóan választottuk-e a kódot, ha üzeneteinket 
legalább 0.999 valószínűséggel szeretnénk a vevőben helyesen rekonstruálni? 


2.81. feladat. 18 bájt méretű üzenetcsomagjainkat 2 bájt méretű CRC-vel védjük 
egy p — 0.001 bithibázás valószínűségű emlékezetnélküli BSC csatornán. 


a) Tegyük fel, hogy zajmentes nyugtázócsatorna áll rendelkezésre, s a hibadetek- 
ció tökéletes! Mennyi a csomagismétlések átlagos száma? 


b) Mekkora ugyanez a szám, ha a nyugtázó csatorna is ugyanilyen mértékben hi- 
bázhat, ahol az 1 bájt méretű nyugta szintén 2 bájt méretű CRC-vel védett. Az 
adó csak akkor nem ismétel, ha hibátlan nyugta érkezik. Mennyi a csomagis- 
métlések átlagos száma? 


2.82. feladat. p hibázási valószínűségű emlékezetnélküli csatornán N bájt méretű, 
T időtartamú csomagokat továbbítunk. A hibakontroll CRC alapú hibadetekció. 
Az adó addig nem küldi el a következő csomagot, amíg az utoljára elküldött cso- 
mag sikeresen át nem jutott a csatornán, s erről a visszairányú csatornán nyugtát 
nem kapott. Tegyük fel, hogy a nyugtázás szintén 7 időt vesz igénybe. Mekkora a 
csomagkésleltetés várható értéke, ha a visszairányú csatorna hibamentes? 
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2.11. Megoldások 


2.1. megoldás. A kódszavak halmaza (0000, 1021,0122,2012,0211,1110, 1202, 
2101,2220), d —3 


2.2. megoldás. A H mátrix dimenziója (n— k) x n, ezért n — 6, k — 5. Mivel azok 
és csak azok a kódszavak, amelyek ortogonálisak H soraira, azaz Hc! — 0, ezért 
adott esetben a nemzérus kódszavak nyilván a páros súlyú 6 bites szavak. Így 
d — 2. A kódszavak száma 2" — 32. 


2.3. megoldás. 


a) A G mátrix dimenziója k x n, ezért n — 5, k — 2. 
A négy kódszó: 00000, 10110,01101, 11011, ahonnan d — 3. 


b) 


00000 10110 01101 11011 
00001 10111 01100 11010 
00010 10100 01111 11001 
00100 10010 01001 11111 
01000 11110 00101 10011 
10000 00110 11101 01011 
00011 10101 01110 11000 
10001 00111 11100 01010 


amelynek alapján a kód javítani képes minden 1 súlyú hibát, továbbá két rögzí- 
tett 2 súlyú hibát. 


c) 


szindróma hibavektor 
000 00000 
001 00001 
010 00010 
011 00011 
100 00100 
101 01000 
110 10000 
111 10001 


d) A szindróma dekódolási táblázatot kiegészítettük a 2 súlyú hibákkal. Ennek 
alapján láthatjuk, hogy a 10 darab 2 súlyú hibaminta esetén 6 esetben — a fenti 
táblázatban az azonos sorban levő — 1 súlyú hibamintával próbál javítani a de- 
kóder. A fennmaradó 4 esetből kettőt helyesen javít, kettőt hibásan 2 súlyúval. 
Tehát a dekódoló kétsúlyú hibák esetén 0.2 valószínűséggel javít helyesen, s 
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0.8 valószínűséggel hibázik. A kérdezett kódszó-dekódolási hibavalószínűség: 
Pe-1—((1—p)--5p(1— pt a-2pt(1—p)")) 
2.5. megoldás. 


a) A G mátrix 2. és 4. valamint a 3. és 5. oszlopát felcseréljük, 


101011 
G — (010111 
001110 
majd a 3. sort az 1. sorból kivonjuk: 
100101 
G" — ( 010111 
001110 


szisztematikus alakú ekvivalens generátor mátrixot kapunk. Innen a keresett 
ekvivalens szisztematikus paritásellenőrző mátrix: 


111100 
H— ( 011010 
110001 


b) A H mátrix sottere: 
000000,111100,011010,110001,100110,001101,101011,010111 


2.6. megoldás. 
2110 
Hi 50 


GF(4) műveleti táblák: 


10123 x0123 
00123 00000 
11032 10123 
22301 20231 
33210 30312 
szindróma hibavektor szindróma hibavektor 
00 0000 20 0020 
01 0001 21 0021 
02 0002 22 1000 
03 0003 23 0200 
10 0010 30 0030 
11 3000 31 0300 
12 0100 32 0032 
13 0013 33 2000 


2 


A kód tehát minden egy súlyú hibát javít, továbbá 3 kettő súlyút. 
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2.7. megoldás. 
a) 


12310 
ös Ea 


d — 3, mivel van 3 súlyú kódszó, s a H mátrix oszlopai lineárisan függetlenek. 
b) Igen. 4(1--3.-5)—4 


c) Két törlést tud javítani a kód: a kódszó (1,3,1,3,3). Ilyen kisméretű iskola- 
példánál egyszerű kombinálással is látható ez az eredmény a generátormátrix 
alapján. Egy megoldási technika x, y ismeretlenek bevezetése a törlések helyén, 
majd Hc" — 0 egyenlet alapján egy kétismeretlenes GF(4) feletti egyenletrend- 
szer felírása: 


1-12-x43:1-41.-3-30-y—0 
1-1-R1-x-B1:-1-0-3--1-y—0 




















ahonnan 
2-x—1 
XX 
s innen — az első egyenlet mindkét oldalát 27! — 3-mal szorozva — az x — 


3, y — 3 megoldást kapjuk. 


d) A G mátrix alapján — egyszerű kombinálással — az alábbi bináris kódszavakat 
kapjuk: 
((00000), (10011), (01101), (11110) 


e) A bináris szavak halmaza nyilván zárt a bináris kombinációkra, így egy részkó- 
dot képez. 


f) A kódszavak halmaza alapján: n— 5,k —2,d — 3. 


29) A G" generátormátrix a következő 


, (10011 
s köl I 
2.8. megoldás. A megadott kódszavak lineárisan függetlenek, továbbá a kód di- 


menziója k — 3, ezért a három megadott kódszó kifeszíti a kódszavak terét: 


10014 
G— ( 01012 ] , 
00113 


42310 
Ún 


ahonnan 
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H oszlopai lineárisan függetlenek, továbbá a Singleton-korlát alapján d — 3, tehát 
t7-l. 


2.9. megoldás. 


LIIII11111111110001100 
H — Íí 000111122223333111 1010 
123012301230123123 1001 


A H mátrix elemekkel való kitöltésének technikája jól követhető a fenti mátri- 
xon (az 100 oszlop logikusan az első lenne, ezt azonban a szisztematikus ge- 
nerálás kedvéért a mátrix végén levő egységmátrixhoz használtuk fel, s hason- 
lóan a 010 oszlop a fenti mátrix 15. és 16. sora közé illeszkedik). Ez a tech- 
nika egyrészt biztosítja, hogy lineráisan függtelenek legyenek az oszlopok, más- 
részt ezzel a módszerrel maximális számú páronként lineárisan független oszlo- 
pokat tartalmazó H mátrixot kapunk: a kitöltés logikája szerint ez a kódszóhossz 
dagi 1 — (397 —1)/(g—1) — 63/3 — 21. GF(g) feletti m soros H mátrix általá- 
nos esetében a kódszóhossz: g" --g"7! 3-...54g-31—(g7—1)/(g—1). 





2.10. megoldás. A Singleton-korlát szerint n—2--1 2 3, azaz n 2 4, tehát a leg- 
rövidebb hossz legalább 4. A 
1110 
ségi 86 


mátrix könnyen láthatóan megfelel a kívánságnak. 


2.11. megoldás. A Singleton-korlát szerintn—k--1 2 3, azaz ez a korlát nem zárja 
ki a létezést. Az egyszerű ismétléses kód megfelelő, azaz a kódszavak halmaza: 
((000), (111), (222) ). A mátrixok: 


G — (111) , 


210 
n- (01) 


2.12. megoldás. A C(n, 1,n) paraméterű bináris kód az ún. bináris ismétléses kód, 
amelynek két kódszava van: ((00...000),(11...111)). A kód generátormátrixa G — 
(11...111) 


z 


így 
1000 ... 0001 


0100 . . . 0001 
H — [0010 ... 0001 


1000 ... 0011 
n -n, k —n-k, d" — 2. C" szavai H sorainak lineáris kombinációi (páros súlyú 


4 hosszú bináris vektorok): 
(0000), (1100), (1010), (1001), (0110), (0101), (0011), (1111) b. 
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2.13. megoldás. g — 2-re a H — (PID) szisztematikus alakot tekintve, öndualitás 
esetén GH" — 0 miatt PPT — —I fenn kell álljon, azaz P csak négyzetes mátrix 
lehet. Ekkor k — n — k, azaz k — n/2. Bináris esetre példa 


111011000 
110110100 
101110010 
011110001 


g 5 2, 2]n: Nembináris esetben az (n,n/2) paraméterű Reed-Solomon-kód stan- 
dard H mátrixa alapján kaphatunk önduális kódot, ahol 


al 


a OZ... 
... 21) 


1 [A 
1 02 al 
H — 


1 a/2 at, , , o/2(n- 1) 


2.14. megoldás. Igen. Bináris lináris kódok esetén igaz, hogy egy kódnak vagy 
minden szava páros súlyú (a 0 súlyt is ideértve), vagy a szavaknak pontosan fele 
páros, fele páratlan súlyú. Ez abból következik, hogy páros súlyú szavak bináris 
összege páros súlyú, páratlan súlyúak összege páratlan súlyú, míg páros és páratlan 
súlyúak összege páratlan súlyú. Ha tehát van egy páratlan súlyú szó, akkor ezt 
a szót a páros súlyúakhoz adva a páratlan súlyú szavak száma legalább akkora 
lesz mint a párosaké. Ugyanakkor ha egy páratlan súlyú szót adunk a páratlan 
súlyúakhoz — önmagához is — akkor láthatóan legalább annyi páros súlyú szónak 
kell lennie a kódban, mint páratlannak. Tehát a számuk egyforma. 





2.15. megoldás. Igen. Írjuk gondolatban a kódszavakat egymás alá, táblázatsze- 
rűen. A G mátrix sorainak kombinációi a kódszavak. Tekintsük G első oszlopát. 
Ezen oszlop bitjei között van legalább egy egyes. Ha tekintjük az összes bináris 
kombinációt a G első oszlopában (azaz skalárszorzás a különböző bináris, osz- 
lophosszú vektorokkal), akkor könnyen láthatóan pontosan az esetek felében l, 
másik felében pedig 0 bit adódik. Ennek megfelelően a kódszavak táblázatának 
első oszlopában pontosan 27! darab 1 bit és ugyanennyi 0 bit áll. Ugyanez a 
gondolatmenet igaz a többi n — 1 oszlop vonatkozásában is. 


2.16. megoldás. Bármely két oszlop linárisan független, ezért d 2 3. A Singleton- 
korlát szerint d £ 3, így d — 3. 


2.17. megoldás. d — 4. 


2.18. megoldás. A kérdéses sarok-bit, az üzenet bitjeinek paritása, amit számol- 
hatunk soronkénti, vagy oszloponkénti paritások paritásaként is (más szavakkal, az 
üzenet bitjeinek modulo 2 összegét számítjuk ki kétféle sorrendben). 
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2.19. megoldás. 


a) Legyen a a GF(g) primitív eleme: 
111... 1 10 
szd 15ks ásni] 
b) Igen. 97"(1--(g4D(a— 1) — a" 


c) 


10011 
G—f(010la 
001102 


2.20. megoldás. Nem igaz. Azt kell észrevenni, hogy egy nembináris páratlan sú- 
lyú kódszó elemeinek összege lehet 0. Például C(4,2) GF(3) feletti kódot tekintve 


az alábbi mátrixokkal: 
H — 1110 
. 10201 


1022 
SZAKEÉST 


Például az (1, 1) üzenethez tartozó (1, 1, 1,0) kódszóhoz O paritáskarakter tartozik, 
azaz a minimális kódszósúly 3 marad. 


2.21. megoldás. Nem. A disztributivitás nem teljesül: (1--1)-2—3A1-2-41- 
270. 


2.22. megoldás. Mivel 4 — 22, ezért bináris másodfokú irreducíbilis polinomot 
választunk a modulo polinom aritmetika generálásához. Ez a polinom f(x) — 
x23x--1. A testelemek elnevezése 0,1,2,3, ahol a következő megfeleltetést vá- 
lasztjuk: 00 16E€1,26x,36x--l. 

Például: 2-3—x(x--1) —x21x— 1 mod f(x). 





2.24. megoldás. 
a set sel 


b) A harmadik sor szerint kifejtve a determinánst: D —07-3 — 3. 


2.25. megoldás. (x--1)x2—1 modx? 3-x? 3-1, ezért (x--1)7! — x2. 
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2.26. megoldás. 


a) Ha p(x) GF) feletti kisebb fokszámú faktorokra lenne bontható, akkor lenne 
azok között elsőfokú, tehát 0,1,2 GF(3)-beli elemek közül kellene, hogy legyen 
gyöke. De 
p(0) —03-0132-ÁA0 (mod 3) 
p(1)—1-41-42ÁA0 (mod 3) 
p(2)—8-44-32-40 (mod 3) 


b) dI26 S 1,2,13,26 
c) (2x31)(62 2) — 2? 1 4x1 PF H2—2x7 h-xi-1 

















2.29. megoldás. Nem, mivel ezen kódszó és egylépéses balra forgatottja közötti 
Hamming-távolság csak 2 lenne. 


2.30. megoldás. 


a) A részkód mérete 8, mivel ha egy lineáris kódban van páratlan súlyú kódszó, 
akkor a kódszavak fele páratlan súlyú 


b) d — 4, mivel a csupa 1 szó eleme a kódnak, ugyanis (x" — 1)/(x— 1) — (x 
x241)(x? 1-x1 1), így a részkódnak is , s az alapkódban emiatt nem lehet 6 
súlyú szó, következésképp a részkódnak csak 7 darab 4 súlyú és 1 darab 0 súlyú 
eleme van, s két 4 súlyú szó különbsége esetünkben csak 4 lehet. 


2.31. megoldás. 

a) a szisztematikus kódszógenerálás technikája alapján 
10001101 
01001111 


0010/1110 
0001/1011 


G — 


a szisztematikus generátormátrix, s ennek alapján a 16 kódszó 


0000000  1000101 
0001011 1001110 
0010110 1010011 
0011101 1011000 
0100111 1100010 
0101100 1101001 
0110001 1110100 
O111010 IIIIIII 


b) a kódszavak halmaza alapján a minimális nemzérus kódszósúly 3 
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c) x—1—(x—1)(x? 1 x2 1 1)(x? xi 1), ezért h(x) — (x7— 1) /g(x) — 
(x— 1)? 231) — at 52 h-xi1 





2.32. megoldás. 

a) súlyok —0,2,4,6,k—6,d-—2 

b) A(x) — (x7—1)/(x—1) — 26 ő xt xxx 1 
c) H— (111111) 


2.33. megoldás. A kódszavak száma: IC] — 2" — 2. 
A két kódszó ((0000000), (1111111)). 


2.34. megoldás. 


67 


a) A választ az x" — 1 polinom valódi, nemzérus fokszámú bináris osztóinak száma 


adja, s mivel x7—1—(x—1)(x? 1-x2 1-1)(x? 1-x 3-1), ezért a válasz 6. 





b) C1(7,1,6): 8169 — (7 —0/k—D)—étőtétrótétxrt1 
C2(T,4,3): g2(x) — x? 1-x 1-1 (Hamming-kód) 
C3(7,4,3): g3(x) — x? 1-x? 7-1 (Hamming-kód) 
C4(T,3,49: g4(x) — (x— 1) (x? 1-x? 3-1) (páros súlyú részkód) 
C5(7,3,4): g5(x) —(x—1)(x? 1-x-4 1) (páros súlyú részkód) 
C6(7,6,2) 86(x) 7 (x — 1) 

2.37. megoldás. 

a) C1 CC 

b) d12 d? 

2.38. megoldás. 


a) hi(x) I 2) 
b) 826) I 816) 


2.40. megoldás. Igen, v(x) — x? 1-1 mod 2(x). 


2.41. megoldás. 


a) Igen, mivel h(x) [ x" — 1. 


b) Nem, mivel a Singleton-korlát miatt C" minimális távolsága legfeljebb k -t 1. 


2.42. megoldás. Nem, ezt láthatjuk, ha ellenőrizzük a gömbi kitöltést: 
25(1--11--11-10/2) 5 21. 


2.43. megoldás. Nem, az állítás ellentmond a Singleton-korlátnak. 
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2.44. megoldás. Igen. Tekintsük a (000), (111), (222) szavakból álló ismétléses 
kódot. A minimális távolság nyilván 3. A szisztematikus paritásellenőrző mátrix: 
H— (111). 


2.45. megoldás. Igen, mivel teljesül a Hamming-korlát szerinti egyenlőség: 
2(137-421-435) —2. 


2.46. megoldás. Igen, mivel teljesül a Hamming-korlát szerinti egyenlőség: 
36(1-411-2--(11-10/2) 229) — 31 


2.47. megoldás. A generátorpolinom gyökhalmaza alapján: d — 5, ta — 2, tg — 4, 
te — 4. 


2.49. megoldás. Nem, mivel g(1) — 0, de a (x7!—1)/(x— 1) — ax! 2 xt- 
:.:-4x- 1 polinomnak az 1 testelem nem gyöke. 


2.50. megoldás. Nem lehetséges. A kódszavak elemeinek összege zérus, ekviva- 
lens azzal, hogy c(1) — 0, tetszőleges c kódszóra. Mivel a kód t hibát javít, ezért az 
a primitív elemnek vagy 1,2, . . . , 2 vagy a 2, 3, . . . , 2t, 2t 1- I hatványai — azaz 2£ 
egymást követő kitevőjű hatvány — a generátorpolinom gyökei. Mindkét esetben 
igaz, hogy ge(1) / 0, azaz a primitív elem 0 kitevőjű hatványa nem gyöke a ge- 
nerátorpolinomnak, következésképp nem lehetséges, hogy c(1) — 0 fenállhasson, 
hiszen egy kódszó a generátorpolinom többszöröse. 





2.51. megoldás. Igaz. Aza — (1, oi, o, . .. ali) ésb— (1,oaJ,o2i, . .. ar Di) 
vektorok ortogonálisak, azaz 


n—-1 
ab— [nat 0 
Hi 


hai j 40 mod n, ami esetünkben teljesül. 


2.52. megoldás. Van. Ha n páratlan szám, akkor ar) — (Lo , OLT, . . . , an Dr ). 
r — 0,1,...,n—2 vektorok lehetnek mind G és H mátrix sorai az előző feladat 
megoldása értelmében. Ha például g — 2" alakú, akkor az elemek rendje mindig 


páratlan szám. 


2.53. megoldás. A C" Reed-Solomon-kód 2" (x) generátorpolinomjának gyökei a, 
0? ahol a c GF(8) primitív eleme. A C Hamming-kód g(x) generátorpolinomjá- 
nak gyökei pedig a, 02, ot. Így c(x) — (x— a9)g (x) — g(x) egyben a C" kód egy 
kódszava, azaz C minden kódszava eleme a C" kódnak. 


2.54. megoldás. Igaz. Ugyanis a Reed-Solomon-kód MDS tulajdonságú, s így ha 
valamely k elemű koordinátahalmazon két kódszó azonos elemeket tartalmazna, 
akkor a különbségük súlya legfeljebb n — k lehetne, ami ellentmodana annak, hogy 
a minimális távolság n—k-t 1. 
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2.55. megoldás. Mivel egy bináris kódban vagy minden szó páros súlyú vagy pon- 
tosan a szavak fele az, s a Hamming-kódban van páratlan súlyú kódszó, ezért C" 
dimenziója k" — 3. A szisztematikus kódszógenerálás technikája alapján 


1000]101 
01001111 
0010/1110 
0001/1011 


G — 


a szisztematikus generátormátrix, amelynek 2. sora, a 3. és 4. sor összege, valamint 
az I. és 3. sor összege páros súlyú. Ezen vektorok kifeszítik a keresett részkódot, 
így a részkód egy generátormátrixa 


0100/1111 
G" — ( 00101110 Í , 
00011011 


C" kódszavai: 0000000, 1001110,1010011,0011101,1011111,0100111,1110100, 
0111010. C" paraméterei: n" — 7, k" — 3, d" — 4. 








2.56. megoldás. 

a) Nem: 29(1--6) c 20. 

b) Nem: 22(1--5) c 27. 

2.57. megoldás. n—8,k—4,d—4 
2.59. megoldás. 

a n—-4k—l 


b) A rövidített kódot a generátorpolinomnak megfelelő (0001101) szó generálja, 
azaz a kódszavak (0000000) , (0001101), így d — 3. 


2.61. megoldás. 


a) Nem, mivel a C" kódnak nem eleme a csupa zérus kódszó. 





b) n" —n, k —k, d" — d, mivel C" két különböző nemzérus szavának különbsége 


C szava, s C minden nemzérus szava így előállítható. 





c) Igen. Bármely két kódszó összege is kódszó, azaz vagy C vagy C" eleme. 


d) A C és C" diszjunkt halmazok, hiszen ha C" egy cS 1 eleme C eleme lenne, 
ahol c € C, akkor nyilván 1 € C is fennnállna, ugyanis (c 1) 9 c — 1, ami 
ellentmondás. Így n" — n, k" — k-- 1, d" —min(d,n— d). 


2.62. megoldás. Azon szavak részhalmazát tekintve, ahol az n -- 1-edik karakter 0, 
a szavak polinom alakjának az 1(— o) testelem is gyöke, tehát ezen részhalmaz- 
beli szavak minimális súlya legalább d -- 1. Azon szavak súlya pedig, ahol ahol az 
n -- 1-edik karakter nem 0 nyilván szintén legalább d - 1. 
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2.64. megoldás. Mivel g(x) — mint generátorpolinom — a C kód egyben leg- 
kisebb fokszámú nemzérus főpolinom kódszava, ezért a c(I(x) — g(x),c2(x) — 
0, . . . c" (x) — 0 sorozat átfűzésével kapható kódszó polinom alakban g(x"), a C" 
kód legkisebb fokszámú nemzérus főpolinom kódszava, azaz generátorpolinomja. 


2.65. megoldás. 
a) n—10,k—9,d—3 








b) Alkalmazzuk a 2.6. pontban megadott módszert. 


2.66. megoldás. Igaza van. Közvetlenül megadhatjuk a dekódolás menetét két 
hiba javítása esetére. A hibapolinom e(x) — xi 3 x2, ahol 0 Cij Ci) €Cn—1 
a hibapozíciók. Felírva a szindrómákra vonatkozó két egyenletből álló egyenlet- 
rendszert: 


HI e(a) ExXI -4 X2 
S-1— ele) —Xxr1-XxI, 


ahol Xj — ai, X. — a? az úgynevezett hibahelycímkék. A második egyenletet 
X1X2-vel beszorozva: 


XI HA - §1, 
X1X2 — §1/5-1, 


egyenletrendszert kapjuk XI és X2 ismeretlenekben. Az 
(x— X1I(x — X2) esz x -k (XI -3- X2)x 4 XIX — x 1 §1x--51/5-1 
másodfokú egyenletre jutunk, amelynek a gyökei a keresett hibahelycímkék. 


2.67. megoldás. Nincs igaza. Az ugyan igaz, hogy 277" javítható hibamintát tu- 
dunk felmutatni, de a dekódolási hibavalószínűség úgy minimálizálható, ha a ja- 
vítható hibaminták súlyai az 1 súlyoktól kezdve súly szerint folyamatosan lefedik 
a hibamintákat, azaz az egy súlyúakat, majd a két súlyúakat, s.í.t. 


2.68. megoldás. Az a) válasz az igaz, mivel a vett szóhoz tartozó szindróma alap- 
ján választjuk a javító hibamintát, azaz mindig zérusra korrigáljuk a szindrómát, 
tehát mindig kódszó az eredmény. 


2.69. megoldás. Bájt karakteres Reed-Solomon-kódot választva három, egyen- 
ként egy bájt hibát javító kódot átfűzünk, mivel 16 bites hibacsomó legrosszabb 
esetben 3 egymást követő bájt hibáját okozza. A komponenskódok paramétere 
C(255,253), s ezzel a kérdéses optimális sebesség R — 253/255 — 0.992. 


2.71. megoldás. Igen. Ugyanis egy m bites hibacsomó, amely az r,r -- I, . . . ,r -- 
m — 1 bitpozíciókat foglalja el, nyilván felírható b(x)x" alakban, ahol b(x) egym—1 
fokszámú bináris polinom. De b(x)x" polinom modulo f(x) maradéka nem lehet 
zérus, mivel f(x) tetszőleges polinomszorosa legalább m-t 1 bites , hibacsomag- 
nak" felel meg. 
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2.72. megoldás. x!7 4 x16 mod g(x) maradékot kell meghatározni. Így a keresett 
16 bites CRC: 00110000]101100011. 


2.73. megoldás. Használjuk a (2.10) formulát: Pe(n,t,(g— 1)p). 


2.74. megoldás. A kód perfekt, ezért a (2.10) formula felhasználásával egyszerűen 
számítható a dekódolási hibavalószínűség: P,—1—((1—p) 5-3 15p(1— p)9). 





2.75. megoldás. A 2(x) — x? 1-x 1-1 bináris generátorpolinomú Hamming-kód 


kódszavai 
0000000 1000101 


0001011 1001110 
0010110 1010011 
0011101 1011000 
0100111 1100010 
0101100 1101001 
0110001 1110100 
O111010 IIIIIII 


zzz 


Ennek alapján a paritásbittel kibővített kód súlyeloszlása: 


súly darab 
4 14 
8 1 


Így P, — 14pt(1— p)- p". 
2.76. megoldás. 


a) Nyilván, ha egy pozíció is marad, törlés nélkül felismerhető a kódszó, lévén 
hogy a két kódszó a csupa 0 illetve a csupa 1. Ez megfelelad—1—n-1 
törlésjavító képességnek. Így P, — 1/2 - a". 


b) A javítóképesség t — ]1(n—1)/2]. Ha n páratlan, akkor a (2.10) képlet alapján 
számolhatjuk a hibavalószínűséget. Ha n páros, akkor t" — In/2] behelyettesé- 
sével a (2.10) képletbe felső becslést kapunk, mivel ekkor n/2 súlyú hiba esetén 
egyenlő távolságra vagyunk a két kódszótól. 


2.77. megoldás. A (2.10) képletet használva a javulás: 
P.(5,2,0.01) — Pe(3,1,0.01). 


2.78. megoldás. 
a) 
súly darab 
0 1 
4 9 


6 6 
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b) P, —9pt(1—p) --6pó(1 — p)? 


2.80. megoldás. Mivel d — 4, ezért ha a törléses hibák száma legfeljebb 3, azt 
biztosan javítani tudjuk. Ezért a (2.10) képlet t — 3 helyettesítéssel felső becslést ad 
a dekódolási hibavalószínűségre. Innen Pe  0.000372 adódik, azaz elfogadhatóan 
választottuk a kódot. 


2.81. megoldás. 
a) g — P(20 bájt hibátlan vétele) — (1 — p)!9, 
Psm(g) —0-g-1-(1—9)g42-(1—9)9g 7. ..—(1—9)/g 5 0.174. 
b) g —a:gack, gacx — P(3 bájt hibátlan vétele) — (1 — p)2! — 0.976, 
Pism(g") — 0.202. 


2.82. megoldás. g — P(N bájt hibátlan vétele) — (1 — p)"/, a késleltetés várható 
értéke: 
2Tg--4T(1—9)g46T(1—9g)?g-- ... —2T /g. 





2.12. Összefoglalás 


Ebben a fejezetben a hibakontroll kódolás alapelveit, alapvető konstrukcióit és al- 
kalmazási területeit tekintettük át. [2, 5, 6, 7, 9, 12, 13, 15, 17] Ezen kódolás célja 
az, hogy hibázó csatornán keresztül is megbízhatóan tudjunk üzeneteket küldeni. 
A célok és alapfogalmak tisztázása után először a hibakontroll blokk-kódok 
legfontosabb osztályát, a lineáris kódokat vezettük be, amelynél a kódszavak hal- 
maza egy egyszerű algebrai struktúrába, egy lineáris térbe rendeződik. Ezzel mind 
a kód generálása, mind a dekódolás feladata lényegesen egyszerűsödik az általános 
nemlineáris kódokhoz képest. A bináris kód általánosítása a tetszőleges véges test 
feletti kód, amelynek felhasználását először egy egyszerű lináris kódkonstukción, 
a továbbiakban a Reed-Solomon-kódokon szemléltettük. A ciklikus kódok beve- 
zetése polinomalgebrai eszköztár felhasználásával még hatékonyabb kódok konst- 
rukcióját teszi lehetővé. Egy kód hibakontroll képességei vonatkozásában fontos 
a kódtávolság minél nagyobb értéke, de egy kód csak akkor lesz felhasználható a 
gyakorlatban, ha hatékony dekódolási algoritmust is tudunk adni hozzá. Az alap- 
vető dekódolási módszerekbe betekintést nyújtottunk, ahol a legfontosabb módsze- 
rünk a szindróma-dekódolás táblázatos illetve algoritmikus módja volt. Ismert kó- 
dokból mint építőelemekből újabb, adott feladatra jobb kódot készíthetünk: ilyen 
technikákat mutattunk a kódkombinációk alfejezetben. Számos fontos gyakorlati 
alkalmazás [6, 8, 12] és nagy számú kidolgozott feladat zárta a fejezetet. 
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3. fejezet 


Kriptográfi a 


A kriptográfia azon algoritmikus módszerekkel foglalkozik, amelyek biztosítják a 
kommunikáció biztonságát. Itt biztonság alatt a szándékos támadásokkal szem- 
beni ellenállóképességet értjük. A támadások lehetnek passzívak vagy aktívak. 
Passzív támadás esetén a támadó nem avatkozik be észrevehető módon a rendszer 
működésébe. Ennek tipikus példája a kommunikáció lehallgatása, és ily módon az 
átvitt üzenetek tartalmához történő illetéktelen hozzáférés. Ezzel szemben, aktív 
támadás esetén a támadó észrevehető módosításokat végez a rendszerben, például 
az átvitt üzeneteket módosítja, esetleg törli, vagy csalárd módon üzeneteket fabri- 
kál más nevében. Jellegüknél fogva, a passzív támadásokat nehéz detektálni, míg 
az aktív támadásokat nehéz megakadályozni. Ezért a kriptográfiai módszerek a 
passzív támadások megelőzésére és az aktív támadások detektálására törekszenek. 

A kriptográfia segítségével megvalósítható főbb biztonsági szolgáltatások a kö- 
vetkezők: 


e Titkosítás: A titkosítás során az üzeneteket oly módon kódoljuk (rejtjelez- 
zük), hogy az üzenet megértéséhez szükséges dekódolást csak az arra illeté- 
kes felek tudják elvégezni. Így az üzenet tartalmához egy támadó nem tud 
hozzáférni. 


e Integritásvédelem: Az integritásvédelem feladata az, hogy detektálhatóvá 
tegye az üzenetek szándékos módosítását. Ezt tipikusan úgy érjük el, hogy 
az üzenetet egy kriptográfiai ellenőrzőösszeggel egészítjük ki. Ez hasonlít a 
hibadetektáló kódolás során alkalmazott ellenőrzőösszeghez (pl. CRC), ám 
azzal ellentétben a kriptográfiai ellenőrzőösszeget csak az arra illetékes felek 
tudják kiszámolni. Így az üzenet tartalmát egy támadó nem tudja észrevétle- 
nül módosítani. 


e Hitelesítés: A hitelesítés lehetővé teszi egy üzenet küldőjének megbízható 
azonosítását. Ezen szolgáltatás segítségével tehát detektálható ha egy tá- 
madó más nevében próbál üzenetet küldeni. 
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Y - Ex(X) 
Xx E X- DKW) 
K K 


3.1. ábra. A rejtjelezés klasszikus modellje 


e Letagadhatatlanság: A letagadhatatlanság szolgáltatás segítségével elér- 


hető, hogy egy üzenet küldője később ne tudja letagadni, hogy ő küldte az 
üzenetet. 


A továbbiakban a fenti biztonsági szolgáltatások megvalósításához szükséges 
kriptográfiai technikákat mutatjuk be, majd ezek gyakorlati alkalmazásait szemlél- 
tetjük a valós életből vett példákon. 


3.1.  Rejtjelezési technikák 


Alapfogalmak 


A rejtjelezés egy olyan kódolási transzformáció, melynek segítségével az üze- 
net küldője az üzenet tartalmát érthetetlenné teszi egy illetéktelen lehallgató szá- 
mára. A rejtjelezés klasszikus modelljét a 3.1. ábra szemlélteti. Ennek segítségével 
vezetjük be a rejtjelezéssel kapcsolatos alapfogalmakat. 

Az elküldendő X üzenetet nyílt szövegnek nevezzük. A küldő a nyílt szövegen 
előáll az Y — Ek(X) rejtjeles szöveg. A küldő továbbítja a rejtjeles szövegetet a 
nem biztonságos csatornán. A vevő a Dxr(.) dekodóló transzformációt használja 
az eredeti nyílt szöveg visszaállítására: X — Dxr(Y ). Mind a kódoló, mind a dekó- 
doló transzformációnak két bemente van: az X nyílt illetve az Y rejtjeles szöveg, 
valamint a K kódoló illetve a K" dekódoló kulcs, melyeket a transzformációk inde- 
xében szokás feltüntetni. Fontos, hogy a dekódoló kulcs értéke titkos, azt illeték- 
telenek nem ismerik. Mivel a csatorna nem biztonságos, ezért egy támadó le tudja 
hallgatni az Y rejtjeles szöveget, ám a K" dekódoló kulcs ismeretének hiányában 
nem tudja abból előállítani a nyílt szöveget. 

A rejtjelezésnek több fajtája létezik. Ha a kódoló és a dekódoló kulcsok meg- 
egyeznek (azaz K" — K), vagy az egyik a másikból könnyen számítható, akkor 
szimmetrikus kulcsú rejtjelezésről beszélünk. Ha a kódoló és a dekódoló kulcs 
nem azonos (azaz K" £ K), és egymásból nehezen számolhatók, akkor aszimmet- 
rikus kulcsú rejtjelezésről beszélünk. 
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Szimmetrikus kulcsú rejtjelezés esetén a küldőnek és a vevőnek meg kell egyez- 
nie a K kódoló/dekódoló kulcsban. Ehhez valamilyen biztonságos csatornát kell 
használniuk, hiszen ellenkező esetben egy támadó is hozzájuthat a kulcshoz, s az- 
zal dekódolni tudja a rejtjeles üzeneteket. A gyakorlatban, a kulcsot vagy egy 
fizikai találkozó során hozzák létre és telepítik a felek, vagy egy már korábban 
telepített kulcs segítségével, rejtjelezett formában közlik egymással a kulcs érté- 
két. Ezek a módszerek azonban nem minden alkalmazásban használhatók. Ezzel 
szemben, az aszimmetrikus kulcsú rejtjelezés előnye, hogy a küldőnek és a vevő- 
nek nem kell egy közös titokban megegyeznie a kommunikáció előtt; elegendő, 
ha a vevő nyilvánosságra hozza a kódoló kulcsát. A K kódoló kulcs segítségével 
bárki képes rejtjeles üzeneteket előállítani a vevő számára, ám azokat csak a vevő 
képes dekódolni a K" titkos dekódoló kulcsával. Ez a működési elv megkönnyíti 
a kulcscsere probléma megoldását. Mivel az aszimmetrikus kulcsú rejtjelezés ese- 
tében a kódoló kulcs nyilvános, ezt a fajta rejtjelezést szokás nyilvános kulcsú 
rejtjelezésnek is nevezni. 

A szimmetrikus kulcsú rejtjelezőket szokás tovább osztályozni kulcsfolyam 
rejtjelezőkre és blokkrejtjelezőkre. A kulcsfolyam rejtjelezők a nyílt szöveget 
karakterenként dolgozzák fel. A karakterhossz változó, tipikus értéke 8 bit vagy 
1 bit. A kulcsfolyam rejtjelező lelke a kulcsfolyam generátor, mely egy valódi 
véletlen vagy egy véletlennek tűnő, ún. álvéletlen karaktersorozatot állít elő. Ezt 
a sorozatot kulcsfolyamnak nevezzük. A kódolás úgy történik, hogy a küldő a 
kulcsfolyam karaktereit bitenként XOR-olja a nyílt szöveg karaktereivel, és így 
nyeri a rejtjeles szöveg karaktereit. A dekódolás hasonlóképpen történik: a vevő 
előállítja ugyanazt a kulcsfolyamot amit a küldő használt a kódolás során, majd ezt 
bitenként a rejtjeles szöveghez XOR-olja. Az XOR művelet tulajdonságai miatt így 
pont a nyílt szöveget kapja vissza. Valódi véletlen kulcsfolyam használata esetén, 
a kulcs maga a kódoláshoz és a dekódoláshoz használt kulcsfolyam. Álvéletlen 
kulcsfolyam használata esetén, a kulcs egy kis méretű (tipikusan 128 bites) titok, 
melyből egy álvéletlen generátor mind a küldő, mind a vevő oldalán ugyanazt az 
álvéletlen kulcsfolyamot állítja elő. 

A blokkrejtjelezők ezzel szemben hosszabb blokkokban dolgozzák fel a nyílt 
szöveget. Tipikus blokkméret a 64 bit vagy a 128 bit. A küldő kódolás előtt a nyílt 
szöveget blokkokra osztja, majd a blokkokat kódolja a blokkrejtjelező segítségével, 
így kapja a rejtjeles szöveg blokkjait. A rejtjeles blokkok hossza megegyezik a nyílt 
blokkok hosszával. A dekódolás során a vevő a blokkrejtjelező inverzét használja 
a nyílt blokkok rejtjeles blokkokból történő visszaállításához. A blokkrejtjelező 
és annak inverze bemenetként kapja a kódoló illetve a dekódoló kulcsot, melynek 
tipikus mérete 128 bit. 

A rejtjelezők biztonságát különböző támadómodellekben szokták vizsgálni. 
Ezek a következők: 


e Kizárólag rejtjeles szövegekre épülő támadás (ciphertext only attack): 
Ebben a modellben a támadónak csak rejtjeles szövegek állnak a rendelke- 


24 


zésére, melyek mind ugyanazzal a kulccsal lettek előállítva. Tipikusan ez 
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a helyzet, mikor a támadó csak lehallgatni képes a küldő és a vevő közötti 
csatornát. 


e Ismert nyílt szöveg — rejtjeles szöveg párokra épülő támadás (known 
plaintext attack): Ebben a modellben azt feltételezzük, hogy a támadó 
hozzá tud jutni egymáshoz tartozó nyílt szöveg — rejtett szöveg párokhoz, 
ahol minden pár esetében ugyanazt a kulcsot használta a küldő a rejtett szö- 
veg előállításához. Bizonyos esetekben, ilyen párokhoz egyszerű lehallga- 
tással is hozzájuthat a támadó (pl. egy kihívás-—válasz típusú partnerhitelesítő 


protokoll használata esetén). 


e Választott nyílt szövegekre épülő támadás (chosen plaintext attack): Ez 
már egy erősebb támadó modell abban az értelemben, hogy ebben a mo- 
dellben feltételezzük, hogy a támadó nemcsak lehallgatni képes a csatornát, 
hanem valamilyen módon rá tudja venni a küldőt, hogy bármely a támadó ál- 
tal választott nyílt szöveget rejtjelezze. Azt szokták mondani, hogy a támadó 
rejtjelező orákulumként használja a küldőt. Ezen modell egyszerű változata 
az, mikor a támadó csak egyszer hívhatja meg az orákulumot, és ezzel a hí- 
vással az összes kódoltatni kívánt nyílt szöveget egyszerre átadja, majd az 
összes rejtett szöveget egyszerre megkapja. Ennek a modellnek létezik egy 
adaptív változata is, amikor a támadó többször hívhatja meg az orákulomot, 
s minden hívásnál adaptívan választhatja a kódoltatni kívánt nyílt szöveget 
az előző hívások eredményeit is figyelembe véve. A gyakorlatban, rejtjele- 
zést végző reaktív eszközök használhatók rejtjelező orákulumként. Tipikus 
példa egy partnerhitelesítést végző szerver vagy intelligens chip-kártya. 


e Választott rejtjeles szövegekre épülő támadás (chosen ciphertext attack): 
Ez a modell nagyban hasonlít az előzőhöz azzal a különbséggel, hogy itt a 
támadó egy dekódoló orákulumot használ, s ennek ad át dekódoltatni kívánt 
rejtjeles szövegeket. Ennek a modellnek is létezik egyszerű és adaptív vál- 
tozata is. A gyakorlatban, dekódolást végző reaktív eszközök használhatók 
dekódoló orákulumként. 


e Összefüggő kulcsokra épülő támadás (related keys attack): Ez a modell 
abban különbözik az előzőektől, hogy itt a támadó olyan rejtett szövegeket, 
vagy nyílt szöveg — rejtett szöveg párokat használ a támadásban, melyek 
mind különböző kulccsal lettek előállítva, ám feltételezzük, hogy ezen kul- 
csok között létezik valamilyen kapcsolat, és ez a támadó számára is ismert. 


Tipikus példa mikor a támadó ismeri a kulcsok XOR különbségét. 


Minden fent említett modellben a támadó célja a kulcs (összefüggő kulcsokra 
épülő támadás esetén a kulcsok) megfejtése. Minden modell feltételezi továbbá, 
hogy a kódoló és a dekódoló transzformáció működése (maga az algoritmus) ismert 
a támadó számára. Ez utóbbi feltételezést Kerckhoff-elvnek! nevezik. 


! Auguste Kerckhoff francia kriptográfus után, aki ezen feltevés gyakorlati fontosságát már 1883- 
ban hangsúlyozta La cryptographie militaire című tanulmányában. 


Kódolástechnika - 2006 - crysys web változat - 6. 


3.1. REJTJELEZÉSI TECHNIKÁK 78 


Egy rejtjelező biztonságos egy adott támadómodellben, ha az adott modell ál- 
tal megengedett képességekkel rendelkező támadó nem képes a rejtjelezőt feltörni, 
azaz hatékony módszert találni a kulcs szisztematikus megfejtésére. Attól függően, 
hogy hogyan értelmezzük a , nem képes" kifejezést, kétféle biztonság-fogalmat kü- 
lönböztethetünk meg: a feltétel nélküli és a feltételes, vagy algoritmikus bizton- 
ságot. A feltétel nélküli biztonság azt jelenti, hogy a támadó tetszőleges nagyságú 
erőforrás mellett sem képes feltörni a rejtjelezőt. Ezzel szemben, algoritmikus biz- 
tonság esetén a rejtjelező csak addig nem törhető fel, amíg a támadó erőforrása 
egy megadott korlát alá esik. Erőforrás alatt itt a tárkapacitást, a futási időt, vagy a 
támadáshoz szükséges adatok mennyiségét (pl. nyílt szöveg — rejtett szöveg párok 
számát), illetve ezek együttesét értjük. 

Talán meglepő, de léteznek feltétel nélkül biztonságos rejtjelezők. Ilyen pél- 
dául a one-time pad (OTP), melyet később részletesen tárgyalunk. A legtöbb 
gyakorlatban használt rejtjelező azonban nem feltétel nélkül biztonságos. Ezen 
rejtjelezők biztonságát úgy szokták jellemezni, hogy a jelenleg ismert támadási 
módszerekkel és a ma tipikusan feltételezhető erőforásokkal nem törhetők fel. Elő- 
fordulhat azonban, hogy felfedeznek egy új támadási módszert, vagy drasztikus 
változás következik be a számítógép-technológiában (pl. megépítik a gyakorlatban 
is használható kvantumszámítógépet), s egy korábban feltételesen biztonságosnak 
tartott rejtjelező az új körülmények között feltörhetővé válik. 

Végül megjegyezzük, hogy minden algoritmikusan biztonságos rejtjelező ki 
van téve a kimerítő kulcskeresés támadásnak. Ez a támadás abból áll, hogy a 
támadó az összes lehetséges kulcsot kipróbálja mindaddig amíg az éppen használt 
kulcsot meg nem találja. A csak rejtjeles szövegek ismeretét feltételező támadómo- 
dellben ez azt jelenti, hogy a támadó addig próbálkozik, míg meg nem találja azt 
a kulcsot, mely minden rendelkezésre álló rejtett szöveget értelmes nyílt szövegbe 
dekódol. Hasonlóképpen, az ismert nyílt szöveg — rejtett szöveg párokat feltételező 
modellben, a támadó addig próbálkozik, míg meg nem találja azt a kulcsot, amelyik 
minden pár nyílt szövegét az adott pár rejtjeles szövegébe kódolja. Ahhoz, hogy a 
kimertő kulcskeresés támadás hatástalan legyen (azaz a rejtjelező algoritmikusan 
biztonságos maradjon) a lehetséges kulcsok számának, más szavakkal, a kulcstér 
méretének elegendően nagynak kell lennie. Ezért van az, hogy a mai tipikus kulcs- 
méret (szimmetrikus kulcsú rejtjelezők esetén) 128 bit, azaz a kulcstér mérete 2128, 
Összehasonlításul, az univerzum becsült életkora 2?" másodperc, a Földön talál- 
ható atomok becsült száma pedig 2". Fontos azonban megérteni, hogy a kulcstér 
nagy mérete csak szükséges feltétele az algoritmikus biztonságnak. Elképzelhető 
ugyanis, hogy a rejtjelező valamely algebrai tulajdonságát kihasználva a rejtjelező 
sikeresen feltörhető annak ellenére, hogy kulcstere megfelelően nagy. Erre később 
mutatunk majd példát. 
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Történelmi példák 


Ebben a szakaszban néhány egyszerű rejtjelezőt mutatunk be melyek közül 
párat a történelem valamely korábbi szakaszában a gyakorlatban is használtak a 
diplomáciai vagy a taktikai kommunikáció védelmére. 


A shift rejtjelező. A shift rejtjelező esetén a nyílt és a rejtett üzenetek terét az 
ábécé betűi alkotják. Az egyszerűség kedvéért tegyük fel, hogy ez a 26 elemű 
angol ábécé. Ezen ábécé betűivel műveleteket szeretnénk végezni, s ennek érdeké- 
ben minden betűhöz egy számértéket rendelünk, méghozzá az ábécében elfoglalt 
helyének sorszámát, ahol a számozást a 0-tól kezdjük. Így például az A betű értéke 
0, a B betű értéke I, stb. Az ábécét alkotó betűk halmazát ennek megfelelően a 226 
halmazzal, azaz a modulo 26 egész számok halmazával reprezentáljuk. 

A shift rejtjelező k kódoló kulcsa a 226 halmaz valamely eleme. A rejtjelezés 
abból áll, hogy k-t modulo 26 hozzáadjuk az x nyílt üzenethez. Vagyis a rejtjeles 
üzenet y — (x1-k) mod 26 formában áll elő. A dekódolás ennek megfelelően a 
következő: x — (y—k) mod 26. Mivel a k — 0 kulcs az identitás transzformációra 
vezet, ezért azt kizárjuk a lehetséges kulcsok halmazából. Így a shift rejtjelező 
kulcsterének mérete [Z26]— 1 — 25. 

A shift rejtejelezővel hosszabb szövegeket is rejtjelezhetünk úgy, hogy a szö- 
veg betűit külön-külön kódoljuk a k kulcs hozzáadásával. Állítólag ezt a mód- 
szert használta Julius Caesar hadvezéreinek szánt üzenetei titkosítására (k — 3 fix 
kulccsal). 





3.1. példa. Rejtjelezzük a VENIVIDIVICI üzenetet a k — 3 kukccsal! Ellenőriz- 
zük, hogy a rejtjeles szöveg a követező lesz: YHALYLGLYLEL. 


Látható, hogy a shift rejtjelezőt ily módon hosszabb szövegek rejtjelezésére 
használni nem biztonságos, mert a kulcstér kis mérete miatt, az összes lehetséges 
dekódoló kulcs gyorsan kipróbálható. A helyes dekódoló kulcsot akkor találtuk 
meg, mikor az adott kulccsal végrehajtott dekódolás eredménye értelmes nyílt szö- 
veg. 


Monoalfabetikus helyettesítés. A monoalfabetikus rejtjelező nyílt és rejtett üze- 
neteinek tere szintén a 226 halmaz. Most azonban a kódoló kulcs a 226 elemeinek 
valamely P permutációja. A kódolás úgy történik, hogy az x nyílt betűt a P(x) 
betűvel helyettesítjük, azaz y — P(x), ahol P(x) az a betű amit a permutáció x-hez 
rendel. A dekódoláshoz szükségünk van a P permutáció P7! inverzére. A dekódo- 
lást az x — P7!1(y) kifejezés definiálja. 

A shift rejtjelezőhöz hasonlóan, a monoalfabetikus rejtjelezés is használható 


hosszabb szövegek rejtjelezésére a szöveg betűinek kölön-külön történő helyette- 
sítésével. 
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3.2. példa. Tekintsük a Z26 alábbi P permutációját: 
íT,a,L,R,B,W, J,G,F,Y,N,C,P,E,K,S,D,U,V, I,X,M,Z,A,H,Oj 


Ekkor például P(A) — T, P(B) — 0, P(C) —L, stb. A VENIVIDIVICI üzenethez 
tartozó rejtjeles szöveg pedig MBEFMFRFMELF lesz. 


A kulcstér mérete most 26!, ami óriási szám, ezért a kimerítő kulcskeresés nem 
használható. Vegyük észre azonban, hogy a monoalfabetikus helyettesítés meg- 
tartja az eredeti szöveg betűstatisztikáját, s ezt sikerrel használhatjuk ki a rejtjeles 
üzenetek megfejtésénél. 

Minden nyelvnek van egy jellegzetes betűstatisztikája, azaz egy átlagos szö- 
vegben minden betű az adott nyelvre jellemző valószínűséggel fordul elő. Például 
az angol nyelvben a leggyakoribb betű az E (12.790), majd a T (9.190). A leg- 
ritkábban előforduló betűk a Z (0.199) és a J (0.290). Ezért ha egy átlagos angol 
szöveget rejtjelezünk egy monoalfabetikus rejtjelezővel, akkor a kódolt szövegben 
leggyakrabban előforduló betű nagy valószínűséggel az E betű kódoltja, a követ- 
kező leggyakoribb betű valószínűleg a T kódoltja, stb. Ez a betűstatisztikára épülő 
fejtési módszer az esetek többségében sikerre vezet a monoalfabetikus rejtjelező 
esetében. 

A monoalfabetikus rejtjelező fontos tanulsága, hogy a kulcstér méretének nagy- 
sága még nem garancia a rejtjelező erősségére vonatkozóan. Azaz, ahogy ezt ko- 
rábban már említettük, a kulcstér nagy mérete csak a biztonság szükséges feltétele. 


Polialfabetikus helyettesítés. A polialfabetikus rejtjelező hasonlít a monoalfa- 
betikus rejtjelezőhöz, a különbség az, hogy a polialfabetikus rejtjelező a nyílt szö- 
veg minden betűjét más permutációt használva helyettesíti. Ennek egyszerű példája 
a Vigenére-rejtjelező?. A Vigenére-rejtjelező működésének megértéséhez tekint- 
sük a 3.2. ábra táblázatát. 

A táblázat minden sora az ábécé különböző mértékű eltolásából áll, továbbá a 
táblázat sorai és oszlopai az ábécé betűivel vannak indexelve. Minden nyílt betű 
helyettesítésénél más sort használunk, melyet a kulcs határoz meg. A kulcs által 
kijelölt sorból a nyílt betűnek megfelelő oszlopban található betűt használjuk a 
nyílt betű helyettesítésére. 


3.3. példa. Legyen a kulcs a CAESAR szó. Ekkor a VENIVIDIVICI szöveget a kö- 
vetkező módon rejtjelezzük. Először a kulcsszót megismételjük annyiszor, hogy 
az üzenet hosszával megegyező betűsorozatot kapjunk. Esetünkben ez a sorozat a 
CAESARCAESAR lesz. Tekintsük a fenti táblázatban az első kulcsbetű által megcím- 
Zett sort, és az első nyílt betű által megcímzett oszlopot. Jelen esteben ez a táblázat 
(C, V) eleme, melynek értéke X. Tehát az első rejtjeles betű az X lesz. Ezután te- 


kintsük a táblázatban a második kulcsbetű által megcímzett sort, és a második nyílt 


Blaise de Vigenére után, aki a módszert 1586-ban publikálta Traicté des Chiffres című értekezé- 
sében. 
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ABCDEFGHIJKL NOPORSTUVWXYZ 
A ABCDEFGHIJKL NOPORSTUVWXYZ 
B BCDEFGHIJKL NOPORSTUVWXYZA 
C CDEFGHIJKL NOPORSTUVWXYZAB 
D DEFGHIJKLMNOPORSTUVWXYZABC 
E BEFGHIJKL NOPORSTUVWXYZABCD 
F FGHIJKL NOPORSTUVWXYZABCDE 
G GHIJKLMNOPORSTUVWXYZABCDEF 
H HIJKL NOPORSTUVWXYZABCDEPFG 
I IJKL NOPORSTUVWXYZABCDEFGH 
J JI KL NOPORSTUVWXYZABCDEFGHI 
K Ki NOPORSTUVWXYZABCDEFGHIJ 
10 LMNOPORSTUVWXYZABCDEFGHIJK 
M NOPORSTUVWXYZABCDEFGHIJ IK 
N NOPORSTUVWXYZABCDEFGHIJKL 
Oo OPORSTUVWXYZABCDEFGHIJKL N 
P PORSTUVWXYZABCDEFGHIJKL NO 
o ORSTUVWXYZABCDEFGHIJKLMNOP 
R RSTUVWXYZABCDEFGHIJKLMNOPO 
S STUVWXYZABCDEFGHIJKLMNOPOR 
5 TUVWXYZABCDEFGHIJKL NOPORS 
U UVWXYZABCDEFGHIJKL NOPORST 
V VWXYZABCDEFGHIJKLMNOPORSTU 
Ww WXYZABCDEFGHIJKL NOPORSTUV 
X XYZABCDEFGHIJKL NOPORSTUVHW 
Y YZABCDEFGHIJKL NOPORSTUV WX 
Z ZABCDEFGHIJKL NOPORSTUVWXY 























3.2. ábra. A Vigenére-rejtjelező 


zzz 


betű által megcímzett oszlopot. Jelen esteben ez a táblázat (A, E) eleme, melynek 
értéke E. Tehát a második rejtjeles betű az E lesz, stb. A VENIVIDIVICI szöveghez 
tartozó rejtjeles szöveg a XERAVZFIZACZ. 


Figyeljük meg, hogy a fenti példában a nyílt szöveg azonos betűit különböző 
rejtjeles betűkkel helyettesítettük. Például a V betűket rendre X, V, és Z betűkkel 
helyettesítettük. Ez annak köszönhető, hogy polialfabetikus rejtjelezés esetén min- 
den nyílt betűt más permutáció segítségével helyettesítünk, amit a kulcs határoz 
meg. Emiatt az egyszerű betűstatisztikára épülő feltörési módszerünk most nem 
használható közvetlenül. 

A Vigenére-rejtjelezőt a középkorban használták és sokáig feltörhetetlennek 
gondolták, míg végül Friedrich Kasiski porosz katonatiszt 1863-ban publikált egy 
törési módszert. A módszer lényege, hogy először azonosítja a kulcsszó hosszát 


3 Állítólag Charles Babbage ennél korábban feltörte a Vigenére-rejtjelezőt, de nem publikálta 
módszerét. 
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a rejtjeles szöveg jellemzői periodicitásának megállapításával. Ha a kulcshossz k, 
akkor minden k. nyílt betű ugyanazon permutáció segítségével van helyettesítve. 
Így ha minden k. betűt tekintünk, akkor lényegében monoalfabetikus helyettesítést 
kapunk, s erre már a korábban bemutatott fejtési módszer alkalmazható. 


Az affin rejtjelező. Az affin rejtjelező nyílt üzeneteinek és rejtett üzeneteinek 
tere a Z26 halmaz. A kódolási transzformációt az y — (a: x-- b) mod 26 kifejezés 
definiálja, ahol az (a,b) € 226 x 226 pár a kódoló kulcs. 

A dekódoláshoz szükségünk van a inverzére, azaz arra az a7! e 226 elemre, 
melyre (a-a"!) mod 26 — 1. Ismert, hogy 226 felett csak azoknak az a elemknek 
létezik inverze, melyek relatív prímek a 26-hoz, azaz melyekre (a,26) — 1. Ezen 
elemek száma p(26) — 12. A kulcstér tehát az ((a,b) e 226 X 226 : (a,26) — 1) 
párok halmaza, és a kulcstér mérete 12 - 26 — 312. 

Tegyük fel tehát, hogy a-nak létezik a"! inverze. Ekkor a dekódoló transzfor- 
máció a következő: x — (a"! :(y— b)) mod 26. 

Az affin rejtjelező könnyen feltörhető. Ha a támadónak lehetősége van válasz- 
tott nyílt szöveges támadásra, akkor kódoltatja az xi —0(— A) ésaz x; —1(—B) be- 
tűket. Ezzel hozzájut az yi — (a:-0--b) mod 26 — b és az ya — (a:11-b) mod 26 — 
(a-b) mod 26 értékekhez. Ezekből b — yi és a — (ya —y1) mod 26. 

Tegyük most fel, hogy a támadó hozzájutott két ismert nyílt szöveg — rejtett 
szöveg párhoz, (xi, y1)-hez és (x2,y2)-höz. Ekkor yi — (a: xi 1 b) mod 26 és y2 — 
(a - x; 1- b) mod 26. Ebből 


y1—y2 E a(xi—x2) (mod 26) 
azaz 


a—(y1—y2): (xi — xx)! mod 26 


b—(yi1—a-x1) mod 26 — (yi — (y1 — 92) : (xi — xx)! : xi) mod 26 


feltéve, hogy (xi — x2)"! létezik. 


3.4. példa. Tegyük fel, hogy a támadó megszerzi a következő két párt: (x1,y1i) — 
(F,E) — (5,4) és (x2,y2) — (C,U) — (2,21). Ekkor 


a —(4—21)-(5—2)"! mod 26 — 9.3"! mod 26 — 9.9 mod 26 — 3 


b—-(4—3.5) mod 26 — —11 mod 26 — 15 
A kódoló kulcs tehát (a, b) — (3, 15). 
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A Hill-rejtjelező. A Hill-rejtjelező nyílt és rejtjeles üzeneteinek tere a 25, tér, 
ahol n egy rögzétett pozitív egész. A kulcstér a 226 feletti n x n-es invertálható 
mátrixok halmaza. A kódolást az y — x : A kifejezés definiálja, ahol A a kulcsmát- 
rix, és a műveleteket modulo 26 végezzük. A dekódolást az x —y:A"! kifejezés 
adja meg, ahol A7! az A mátrix inverze modulo 26. 


3.5. példa. Legyen n — 2. Rejtjelezzük a JULY szöveget a következő kulccsal: 
118 
Es 
Mivel n — 2, ezért a nyílt szöveget 2 hosszú vektorokra kell bontanunk: 
JULY — (9,20);(11,24) 


Ezután elvégezzük a szorzásokat (modulo 26): 


(9,20) . 1 5) — (99-60 mod 26,72-- 140 mod 26) — (3, 4) 


(11,24) ÉS 5) — (121472 mod 26,88 -- 168 mod 26) — (11,22) 


Az eredényül kapott rejtjeles szöveg tehát: 
(3,4):(11,22) — DELW 


Bizonyítás nélkül közöljük a következő két tételt, melyek a Hill rejtjelező de- 
kódoló kulcsának kiszámításához nyújtanak segítséget: 


3.1. tétel. Egy A mátrix akkor és csak akkor invertálható Z, felett, ha (k, det A) — 
T 


3.2. tétel. Az A mátrix Z, feletti inverze a következőképpen számolható: 
A7! — (det A)! A" 6.1) 
ahol az A" az A adjungált mátrixa, azaz 
(af) — ((— 7 det A ;) 8.2 


ahol A ;; az a mátrix amelyet A-ból nyerünk a j. sor és az i. oszlop törlésével. 
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Alkalmazzuk a fenti tételt az n — 2 esetre, azaz amikor A a következő alakú: 


d11 d12 
A — 
d21 d22 


Ekkor 
—d21 411 
és 
A71 — (det ap ( si és (3.4) 
—d21 dt1 


222 


3.6. példa. Számoljuk ki az előző példában használt A mátrix inverzét! 
118 
ez 
det A—(11-7—3-8) mod 26—1 


(det A)! —1 
af 7-8) (718 
KSS JÉ 


Kulcsfolyam rejtjelezők 


A kulcsfolyam rejtjelezők a nyílt szöveget karakterenként kódolják, mégpedig 
úgy, hogy a nyílt szöveg karaktereit kombinálják a kulcsfolyam karaktereivel. Ez 
a kombináció tipikusan a (bitenkénti) XOR műveletet jelenti. A kulcsfolyamot a 


2 4 


kulcsfolyam generátor állítja elő egy belső állapotból. A generátor minden kulcs- 


24 2 2 


karakter előállítása után frissíti a belső állapotát, így a következő kulcskaraktert 


2 4 


már ebből a friss állapotból számolja. A kezdő állapotot egy közös titokból állítja 


2 4 


elő a küldő és a vevő. 

A belső állapot frissítésének módjától függően megkülönböztetünk szinkron 
és önszinkronizáló kulcsfolyam rejtjelezőket. Szinkron rejtjelezők esetében, a 
következő állapot csak az előző állapottól vagy állapotoktól függ, míg önszinkro- 
nizáló rejtjelező esetén a következő állapot függ a rejtjeles karakterektől (s azon 
keresztül a nyílt szövegtől). A szinkron és az önszinkronizáló kulcsfolyam rejtje- 
lezők működési vázlatát a 3.3. ábra szemlélteti. 

Szinkron kulcsfolyam rejtjelezők esetében ügyelni kell arra, hogy a küldő és a 


vevő állapota szinkronban legyen. Ellenkező esetben a vevő nem a megfelelő álla- 
potból generálja a vett rejtjeles karakter dekódolásához szükséges kulcskaraktert, 
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belső állapot w frissítés 
kulcskarakter 
generálás 


kulcskarakter 









belső állapot 
kulcskarakter 
generálás 


kulcskarakter 









nyílt karakter rejtjeles karakter nyílt karakter a rejtjeles karakter 





3.3. ábra. A szinkron (bal oldali ábra) és az önszinkronizáló (jobb oldali ábra) 
kulcsfolyam rejtjelezők működési vázlata. 


és a dekódolás eredménytelen lesz. Önszinkronizáló kulcsfolyam rejtjelezők eseté- 
ben megfelelő számú helyesen vett rejtjeles karakter automatikusan szinkronizálja 
a küldő és a vevő állapotát. Ezekből a tulajdonságokból származik a szinkron és 
az önszinkronizáló elnevezés. 

Szoftver megvalósítás esetén a rejtjelező állapotát egy belső változóban tárol- 
juk. Például a szoftver megvalósításra tervezett RC4 rejtjelező esetében a belső 
állapot az összes lehetséges bájt egy permutációja, melyet egy 256 elemű bájt- 
tömbben tárolunk, és két egybájtos index változó. Így a belső állapot tárolására 
258 bájtra van szükség, és a rejtjelező állapotterének mérete 2! . 2561. 

Hardver megvalósítás esetén a belső állapotot regiszterekben tároljuk. En- 
nek tipikus példája a lineárisan visszacsatolt shift-regiszter (Linear Feedback Shift 
Register — LFSR) használata. Mivel az LFSR-re épülő rejtjelezők a gyakorlatban 
igen elterjedtek, ezért ezeket a következő szakaszban kicsit részletesebben tárgyal- 


juk. 


LFSR alapú kulcsfolyam rejtjelezők 


A lineárisan visszacsatolt shift-regiszter működését a 3.4. ábrán vázoltuk. A shift- 


22 


regiszter rekeszeiben tárolt bitek reprezentálják az aktuális belső állapotot. A shift- 
regisztert induláskor egy kezdőértékkel töltjük fel. Ezután, minden ütemben, ki- 
számítjuk a rekeszek tartalmának egy lineárkombinációját, és az eredményt balról 
beléptetjük a shift-regiszterbe. Ennek hatására minden rekesz tartalma a tőle jobbra 
található rekeszbe másolódik, a jobb szélső rekesz tartalma pedig az LFSR kime- 
netére kerül. Ily módon az LFSR minden ütemben egy bit kimenetet generál, és a 
visszacsatoláson keresztül frissíti belső állapotát. 

Ha az LFSR-t kulcsfolyam generátorként szeretnénk használni, akkor a vissza- 
csatolás módját titokban tartjuk, azaz azt csak a küldő és a vevő ismeri. Azonos 
kezdőállapotból indulva így a küldő és a vevő LFSR-e ugyanazt a bitsorozatot ge- 
nerálja, mely kulcsfolyamként használható. Azt reméljük továbbá, hogy a vissza- 


csatolás ismeretének hiányában egy támadó nem tudja előállítani az LFSR kime- 
netén megjelenő kulcsfolyamot. 
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3.4. ábra. A lineárisan visszacsatolt shift-regiszter működési vázlata. 


Sajnos a fent vázolt, egyetlen LFSR-re épülő kulcsfolyam rejtjelező nem biz- 
tonságos. Ennek elmagyarázásához be kell vezetnünk egy bitsorozat lineáris komp- 
lexitásának fogalmát, és egy kapcsolódó tételt: 

3.1. definíció. Egy bitsorozat lineáris komplexitása alatt a sorozatot előállító leg- 
rövidebb LFSR hosszát értjük. 


3.3. tétel. Tekintsünk egy s bináris sorozatot, melynek lineáris komplexitása L. 
Ekkor s egy legalább 2L hosszúságú részsorozátából megkonstruálható az az LFSR, 


za 


mely előállítja az s sorozatot. 


Legyen a rejtjelezéshez használt LFSR hossza L". Ezen LFSR által előállított 
bináris sorozat L lineáris komplexitására nyilván teljesül, hogy L £ L". A fenti tétel 
értelmében tehát, ha a támadó megfigyel az LFSR kimenetén 2L/ egymásutáni bitet, 
akkor meg tudja konstruálni az LFSR-t, azaz meg tudja fejteni a visszacsatolás 
módját, ami jelen esetben maga a titkos kulcs. Vegyük észre továbbá, hogy az 
LFSR kimenete egy nyílt szöveg — rejtett szöveg párokat használó támadás esetén 
egyszerűen a nyílt és a rejtett szövegek XOR összegeként számolható. 

A fenti gyengeség miatt, a gyakorlatban használt LFSR alapú rejtjelezők nem 
egyetlen LFSR-t használnak, hanem több LFSR kimenetét kombinálják egy nem- 
lineáris függvény segítségével. 


A one-time pad 


A one-time pad (OTP) egy olyan kulcsfolyam rejtjelező, ahol a K kulcsfolyam egy 
igazi véletlen bitsorozat. Rejtjelezésnél ezt XOR-oljuk az X nyílt szöveg bitjeihez, 
és így kapjuk az Y rejtjeles szöveg bitjeit. Azaz Y —XEOEK. Dekódolásnál ha- 
sonlóképpen járunk el, s az XOR művelet tulajdonságai miatt visszakapjuk a nyílt 
szöveget: YOK—-XOKOK —X. 

A one-time pad segítségével tökéletes titkosítást valósíthatunk meg, ahol a 
tökéletes titkosítást a következőképpen definiáljuk: 


3.2. definíció. Tökéletes titkosításról akkor beszélünk, ha a támadó a rejtett szö- 
veg megfi gyelésével nem jut több információhoz a nyílt szöveget illetően, mint 
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amennyi információ birtokában a rejtett szöveg megfi gyelése előtt volt. Formáli- 
san, tökéletes titkosítás esetén, a nyílt szöveget és a rejtett szöveget reprezentáló 
valószínűségi változók függetlenek. 


Például, ha minden nyílt szöveg egyforma valószínűséggel fodul elő, akkor tö- 
kéletes rejtjelezés esetén, a támadó megfigyeli a rejtett szöveget, s továbbra is min- 
den nyílt szöveg egyforma valószínűségű számára. Azaz a megfigyeléssel nem jut 
több információhoz, és továbbra sem tudja eldönteni, hogy melyik nyílt szöveget 
rejtjelezték. 

Sajnos a one-time pad esetén minden egyes üzenet rejtjelezéséhez véletlenül 
sorsolt új kulcs szükséges, melynek mérete lényegében megegyezik az üzenet mé- 
retével. Ezt az állítást pontosítja a következő tétel: 


3.4. tétel. A tökéletes titkosítás szükséges feltétele, hogy a kulcs hossza legalább 
akkora legyen, mint a tömörített nyílt szöveg hossza. 


A fenti tétel alapján, a tökéletes titkosításhoz egy az üzenet méretével meg- 
egyező hosszúságú titkos kulcsot kell biztonságosan eljuttatni a küldőtől a vevő- 
höz. Ha erre a célra létezne titkosított csatorna a küldő és a vevő között, akkor 
azon maga a rejtjelezni kívánt üzenet is továbbítható lenne. Csak arról lehet tehát 
szó, hogy a küldő és a vevő a kommunikáció előtt előre megállapodik a későbbi 
kommunikációhoz szükséges mennyiségű véletlen kulcsbitben. Például, szemé- 
lyesen találkoznak, és a küldő valamilyen adathordozón átadja a később használni 
kívánt kulcsbiteket. Ez nyilvánvalóan nagy mértékben szűkíti a tökéletes titkosítás 


gyakorlati alkalmazhatóságának körét. 


Szimmetrikus kulcsú blokkrejtjelezők 


A blokkrejtjelező egy E : (0,1y" x (0,1F — (0,1)" transzformáció, amely az 
n bites nyílt blokkot és a k bites kulcsot az n bites rejtett blokkba transzformálja. 
Rögzített kulcs mellett az E transzformációnak természetesen invertálhatónak kell 
lennie, különben a rejtjeles blokkból nem tudnánk egyértelműen visszaállítani a 
nyílt blokkot. A fent definiált blokkrejtjelezőt tehát úgy is tekinthetjük, mint az 
Ek : (0,1) — (0,1)" invertálható leképezések egy családját, ahol a család egyes 
elemeit a K € (0,1)/ kulcs választja ki. Az Ex transzformáció invertálhatóságából, 
valamint a bemenet és a kimenet méretének azonosságából következik, hogy Ex 
egy permutációt határoz meg az n bites bináris vektorok halmazán. 

A blokkrejtjelezővel szemben támasztott minimális tervezési követelmények a 
következők: 


e Statisztikai függetlenség: Ne legyen egyértelmű statisztikai kapcsolat a 
nyílt blokkok és a rejtjeles blokkok között. 


e Teljesség: A kimenet minden bitje minden bementi bittől és minden kulcs- 
bittől függjön. 
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e Lavinahatás: Ha a bemeneten egy bitet megváltoztatunk, akkor a kimene- 
ten minden bit közel ; valószínűséggel változzon meg. Ez a követelmény 
azt biztosítja, hogy a blokkrejtjelező majdnem azonos nyílt szövegeket is 
teljesen eltérő rejtett szövegekbe kódol. Így például eltérő sorszámmal ren- 
delkező, de azonos tartalmú üzenetek a rejtett szövegek megfigyelése alap- 
ján nem csoportosíthatók. Hasonlóképpen, szeretnénk, ha egy kimeneti bit 


megváltoztatása nem predikálható változásokat eredményezne a bemeneten. 


A legtöbb gyakorlatban használt blokkrejtjelező szorzat rejtjelező. A szorzat 
rejtjelezők önmagukban egyszerű transzformációk egymásután többszöri alkalma- 
zásával próbálják meg elérni, hogy az eredményül kapott transzformáció (az egy- 
szerű transzformációk szorzata) kielégítse a fenti kritériumokat. A szorzat rejtjele- 
zőben használt egyszerű transzformációk lehetnek egyszerű logikai és aritmetikai 
műveletek, kis méretű helyettesítések, vagy bitpermutációk. Nyilvánvaló azonban, 
hogy ezek tetszőleges kombinációja nem fog biztonságos blokkrejtjelezőt eredmé- 
nyezni. A blokkrejtjelező tervezése nagy szakértelmet igényel, és nem tanácsos azt 
hozzá nem értőre bízni. 

A szorzat rejtjelezők egyik gyakori típusa a helyettesítéses-permutációs rejt- 
jelező (substitution-permutation, vagy röviden SP rejtjelező), mely kis méretű he- 
lyettesítések és nagy méretű bitpermutációk sorozatából áll. Ennek jellegzetes 
példája a DES, amelyet később részletesen ismertetünk. A klasszikus $P rejtje- 
lező felépítése a 3.5. ábrán látható. A bemenetre kerülő nyílt blokk permutációs 
és kulcsvezérelt helyettesítő rétegeken keresztül jut el a kimenetre. A permutá- 
ciós réteg egyetlen P bitpermutációból (ún. P-dobozból) áll. A helyettesítő réteg 
több kis méretű S; helyettesítő transzformációból (ún. S-dobozból) épül fel, melyek 
mindegyike több helyettesítő táblát tartalmaz. Az S-dobozba bevezetett kulcsbitek 
határozzák meg, hogy melyik táblát kell használni a kódolás során. 

A permutációk és helyettesítések egymásutáni használatának célja a lavinaha- 
tás elérése. Ha például az §-dobozok olyanok, hogy tetszőleges bemenet esetén 
a bemeneten egy bit megváltoztatása a kimeneten legalább két bit megváltozását 
okozza, akkor az első réteg bemenetén fellépő egy bit változás az első helyette- 
sítő réteg kimenetén legalább 2 bit változását eredményezi, amit a bit permutáció 
szétszór a teljes blokkon, így azok tipikusan a következő réteg két különböző §- 
dobozának bemenetére kerülnek. A második réteg kimenetén így már legalább 4 
bit változik meg, és így tovább. Az eredmény az lesz, hogy egymáshoz Hamming- 
távolságban közeli nyílt szöveg blokkok álvéletlen módon tipikusan távolra kerül- 
nek egymástól. 

Fontos továbbá, hogy az 5-dobozok nemlineáris leképezést valósítsanak meg, 
azaz a rejtett szöveg vektor a nyílt szöveg vektorból egy bináris mátrixszal tör- 
ténő szorzással ne legyen előállítható. Ellenkező esetben a teljes rejtjelező lineáris 
transzformációt valósítana meg, hiszen a bitpermutációk lineáris leképezések. A 
klasszikus történelmi példák tárgyalása során azonban láttuk, hogy a lineáris rejt- 
jelezők könnyen feltörhetőek. 
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3.5. ábra. A klasszikus helyettesítéses-permutációs rejtjelező felépítése. 


A DES blokkrejtjelező 


A DES (Data Encrytpion Standard) a legismertebb helyettesítéses-permutációs 
blokkrejtjelező, melyet az IBM szakemberei fejlesztettek ki a hetvenes években. 
Később a világ több országában szabványként fogadták el, és azóta is használ- 
ják. A DES egy jól megtervezett blokkrejtjelező, legalábbis nem ismert ellene 
olyan igazán hatékony támadás mely valamilyen tervezési gyengeséget használna 
ki. Ugyanakkor, a DES 56 bites kulcsmérete miatt ma már nem zárható ki a kime- 
rítő kulcskeresés mint hatékony támadás a DES ellen. Ezen probléma megoldására 
2001-ben új blokkrejtjelező szabványt fogadtak el, melynek kulcsmérete legalább 
128 bit. Ez az új blokkrejtjelező, melyet AES-nek (Advanced Encryption Stan- 
dard) hívnak, fokozatosan felváltja a DES-t a különböző alkalmazásokban. Az 
AES-t a DES után tárgyaljuk majd. 

A DES struktúrája a 3.6. ábrán látható. A bemenet és a kimenet mérete 64 bit, a 
kulcs 56 bites. A rejtjelező 16 rétegből áll, ahol a rétegek felépítése egy kicsit eltér 
a 3.5. ábra rétegeinek klasszikus felépítésétől. Itt az egyes rétegek bemenete két 
részből áll, jelöljük ezeket L;-vel és R;-vel, ahol L; és R; mérete 32 bit. A jobb oldali 
blokk, R; áthalad egy kulcsvezérelt, 5-dobozokból és egy P-dobozból felépülő F 
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3.6. ábra. A DES szerkezete. 


transzformáción. Az i. réteg kulcsát jelöljük K;-vel. K; 48 bites, és a kulcsütemező 
állítja elő az eredeti 56 bites kulcsból. Az F transzformáció kimenetét XOR-oljuk 
a bal oldali blokkal, L;-vel, majd a két oldal blokkjait felcseréljük (kivéve az utolsó 


24 z 


rétegben). Így kapjuk a következő réteg bemenetének két blokkját. Formálisan: 


La —R; 8.5) 
Ria1 7 L; 0 F(R;,K;) 





Ezt a struktúrát Feistel-struktúrának! nevezik. Az az előnye, hogy az így fel- 
épülő rejtjelező mindenképpen invertálható, függetlenül attól, hogy F invertálható, 
vagy sem. Vegyük észre ugyanis, hogy L; és R; előállítható L; .1-ből és R;41-ből 
anélkül, hogy F inverzét használnánk, hiszen (3.5)-ből: 


L; — R; 1 0 F(Li41, K;) 
R; — Li 1 





A Feistel-struktúra egy másik előnye, hogy a dekódoló eljárás megegyezik a 
kódoló eljárással, csupán a kulcsütemezőt kell fordítva működtetni (pl. a kódolás- 


2 aZ 


nál az első rétegben alkalmazott 48 bites kulcsot a dekódolásnál az utolsó rétegben 


"Horst Feistel, az IBM kriptugráfusa után, aki ezt a struktúrát kitalálta. 
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kell használni). Ez különösen hasznos tulajdonság, ha a DES-t hardverben sze- 
retnénk implementálni, mert ugyanaz az áramkör használható a kódoláshoz és a 
dekódoláshoz, s így kevesebb kapura van szükség. 

A továbbiakban a DES építőelemeit vizsgáljuk meg részletesebben: 


A kezdeti és a végső permutáció (IP és FP). E két 64 bit bemenetű és 64 bit ki- 
menetű bitpermutációnak nincs különösebb szerepe, a DES biztonságára nincsenek 
hatással. Mivel szoftverben viszonylag nehezen implementálhatók, ezért gyakran 
el is hagyják őket, eltérve az eredeti szabványtól. 


A kulcsütemező. A kulcsütemező feladata, hogy az egyes rétegek számára elő- 
állítsa a megfelelő méretű kulcsot. Ezt a következőképpen teszi. Először is az 56 
bites kulcsot két 28 bites részre vágja. Mindkét felet balra rotálja egyszer vagy két- 
szer, attól függően, hogy melyik réteg kulcsáról van éppen szó. A rotálások száma 
természetsen a DES szabványban rögzített. A rotálás után egy PC permutáció sze- 
rint kiválaszt az 56 bitből 48-at. A rotálások következtében minden rétegben más 
48 bit kerül kiválasztásra, annak ellenére, hogy a választó PC permutáció minden 
rétegben azonos. Minden bit kb. 14 rétegbe lép be. Az összes rotálások száma 
pontosan 28, így egy blokk rejtjelezése után az 56 bites kulcs az eredeti állapotába 
áll vissza, és kezdődhet a következő blokk kódolása. Ennek elsősorban hardver 
megvalósításoknál van szerepe. 


Az F függvény. Az F függvény felépítését a 3.7. ábra szemlélteti. A bemenet 
először egy expanziós transzformáción halad keresztül, mely a 32 bites vektorból 
egy 48 bites vektort állít elő. Ezt XOR-oljuk a 48 bites rétegkulccsal. A következő 
elem egy S-doboz réteg, melyben 8 darab 6 bitet 4 bitbe képző S-doboz található. 
Az §-doboz réteg kimenete így 32 bites. Az F függvény kiemenetét végül egy 32 
bites P-doboz állítja elő. 


Az §-dobozok (S;). . Minden §-doboz 4 darab 4 bitet 4 bitbe helyettesítő táblázat- 
ból áll. Ezen táblázatok közül az S5-doboz bemenetének két szélső bitje választja ki 
az aktuálisan alkalmazandót. Úgy is elképzelhetjük, hogy az S-dobozok 4 sorból 
és 16 oszlopból álló táblázatok, és a bemenet két szélső (tehát az 1. és a 6.) bitje 
címzi meg a sort, a középső 4 (tehát a 2—5.) bit pedig az oszlopot. 


A P-doboz (P). A P-doboz egy egyszerű bitpermutáció. A P-doboz feladata a 
bitek összekeverése oly módon, hogy egy §-doboz kimeneti bitjei a következő ré- 
tegben más §-dobozok bemeneti bitjei legyenek. 
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3.7. ábra. A DES F rétegfüggvényének felépítése. 


Többszörös rejtjelezés és a 3DES 


LANE 4 E SPA 


rejtjelezőre jutunk. Az egyik legközvetlenebb ezen irányba tett lépés a kétszeres 
kódolás: Y — Ex, (Ex, (X )) 

A kulcshossz a kétszeres kódolással formailag kétszeresére nő, hiszen két kul- 
csot használunk. Formailag, mert ténylegesen csak akkor van így, ha a kétszeres 
kódolással a kétszeres kulcshossznak megfelelő számú különböző transzformációt 
állítunk elő. Ha a kódolónk csoport tulajdonságú, akkor ez biztosan nincs így, hi- 
szen ezesetben Ex, (Ex, (X)) — Ex, (X), valamely Ex, € F esetén, ahol F — (Ex) 
a kódoló transzformációk halmaza. Ekkor tehát egyáltalán nem változott a külön- 
böző transzformációk száma, azaz kétszeres kódolással csak ugyanazon transzfor- 
mációkat tudjuk előállítani, mint egyszeres kódolással. 

Mivel a DES esetén a csoport tulajdonság nem áll fenn, ezért van értelme a 
DES-sel többszörösen rejtjelezni különböző kulcsokkal. Ugyanakkor a kétszeres 
kódolásnak van egy nagy hátránya. Nevezetesen az, hogy a kimerítő kulcskere- 
sés támadásnál lényegesen egyszerűbb támadás kínálkozik ellene, melyet középen 
találkozás támadásnak neveznek. 

A középen találkozás támadás lényege a következő: Tegyük fel, hogy a tá- 
madó birtokában van egy összetartozó nyílt blokk — rejtjeles blokk pár, amit je- 
löljünk (X,Y)-nal. Tudjuk, hogy a keresett kódoló transzformáció két egylépéses 
kódoló transzformáció szorzata. A támadó az X nyílt blokkot kódolja egylépé- 
seses kódolással az összes lehetséges kulccsal, s hasonlóan, az Y rejtett blokkot 
dekódolja egylépéseses dekódolással az összes lehetséges kulccsal. Ezután a tá- 
madó a kódolás és dekódolás eredményei halmazának metszetét vizsgálja. Ha egy 
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3.8. ábra. A 3DES EDE konfigurációban. 


Ex. (X ) kódolási lépés eredménye egybeesik egy Dx (Y ) dekódolási lépés eredmé- 
nyével, akkor a keresett ismeretlen kétlépéses transzformációra a támadó sejtése 
Ex (Ex,(.)), amit további birtokában levő nyílt blokk — rejtett blokk párokon el- 
lenőrizhet. Jelöljük az egylépéses kódolás kulcshosszát k-val. Ekkor, a támadás 
komplexitása 2 - 2k — 21 ami sokkal kisebb, mint a kétszeres kulcshosszhoz tar- 
tozó kimerítő kulcskeresés 22" komplexitása. 

Kétszeres DES rejtjelezéssel tehát nem érünk el jelentős javulást. A következő 
lehetőség a háromszoros kódolás. Az így nyert rejtjelezőt 3DES-nek nevezik, és a 
gyakorlatban igen elterjedten használják. A 3DES-t EDE és DED konfigurációban 
lehet használni, ahol az E betű a kódoló, a D betű pedig a dekódoló transzformáci- 
óra utal. A 3DES-EDE vázlatát mutatja a 3.8. ábra. 

Ha Ki — K;, ekkor két kulcsos 3DES-ről beszélünk, melynek effektív kulcs- 
hossza 112 bit. Ha a KI, K2, és Kz3 kulcsok mind különbözők, akkor három kulcsos 
3DES-ről beszélünk, melynek effektív kulcshossza 168 bit. 


Az AES blokkrejtjelező 


Az AES-t (Advanced Encryption Standard) egy több évig tartó eljárás során vá- 
lasztották a DES utódjának több tucat jelölt közül. A DES lecserélése azért vált 
időszerűvé, mert 56 bites kulcsmérete a mai technológia mellett túlságosan rö- 
vidnek számít. Az AES kulcsmérete változó: 128, 192, vagy 256 bit (a rétegek 
számától függően). Az AES blokkmérete 128 bit (azaz 16 bájt). 

Az AES is réteges szerkezetű, azaz szorzat-rejtjelező. A rétegek száma változó: 
10, 12 vagy 14. Továbbá a DES-hez hasonlóan az AES is használ S-dobozt, azaz 
helyettesítéses-permutációs rejtjelező. A DES-sel ellentétben azonban az AES nem 
Feistel-struktúrájú. Így az AES kódoló és dekódoló algoritmusa nem azonos, a de- 
kódoló algoritmus a kódolás során alkalmazott transzformációk inverzét használja. 
Az AES úgy van tervezve, hogy a kódoló algoritmus hatékonyabb, mint a dekó- 
doló. Ez azért van így, mert több blokkrejtelezési mód (lásd később a 3.2. szakaszt) 
a kódoló transzformációt használja a dekódoláshoz is. 

Az AES kódoló minden rétegében a következő négy művelet kerül végrehaj- 
tásra: 
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3.9. ábra. Az AES sor-eltolás művelete. 
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3.10. ábra. Az AES oszlop-keverés művelete. 


e Bájt-helyettesítés: Az AES-nek egyetlen 8 bitet 8 bitbe képző S-doboza 
van. A bájt-helyettesítés során ezt az 5-dobozt használjuk az adott réteg 16 
bájtos bemenete minden egyes bájtjának helyettesítésére. 


e Sor-eltolás: A sor-eltoláshoz a bájt-helyettesítés eredményeként kapott 16 
bájtos vektort egy 4 x 4-es mátrixba rendezzük, majd a mátrix i. sorát (i— 1)- 
gyel balra rotáljuk. Ezt a 3.9. ábra szemlélteti. 


e Oszlop-keverés: Az oszlop-keverés abból áll, hogy a sor-eltolás eredmé- 
nyeként kapott 4 x 4-es mátrixot megszorozzuk egy, az AES specifikációban 
megadott konstans mátrixszal. A műveleteket GF(25) felett végezzük. Ezt 
a 3.10. ábra szemlélteti. Végül az eredményül kapott mátrix elemeit újra 
sorba rendezzük. 


e Kulcs-injekció: A kulcs-injekció során a 16 bájtos rétegkulcsot (melyet 
egy kulcsütemező állít elő minden réteg számára) bitenként XOR-oljuk az 
oszlop-keverés eredményeként kapott 16 bájtos vektorral. 


Az AES blokkrejtjelező, szabványként való elfogadása óta, a kriptanalízis szak- 
értők egyik kedvelt célpontja, ugyanúgy, ahogy közel harminc évvel ezelőtt a DES 
blokkrejtjelező. Az AES eddig sikeresen ellenállt minden feltörési kísérletnek. 
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S-doboz tervezési kritériumok 


A helyettesítéses-permutációs rejtjelezők legfontosabb építőelemei az S-dobozok. 
A rejtjelező ereje nagy mértékben függ S-dobozainak tulajdonságaitól, ezért ezek 
tervezése igen nagy körültekintést és tapasztalatot igényel. Ebben a szakaszban 
összefoglaljuk az §-doboz tervezés főbb kritériumait. 

Elsőként formálisan is definiáljuk, hogy mit értünk S-doboz alatt: 


3.3. definíció. Egy f : (0,1)" — (0,1)" leképzést S-doboznak nevezünk, hal c 
n £ m. f-et gyakran tekintjük úgy, mint n darab Boole-függvény együttesét: 


f(x) — (1), 260)... , a) 8.6) 


ahol az f; : (0,14" — (0,1) függvényeket komponens Boole-függvényeknek ne- 
vezzük. 


Balansz tulajdonság. A balansz tulajdonság azt jelenti, hogy az S5-doboz nem 
torzítja el egy egyenletes eloszlású bemenet gyakoriság-statisztikáját. 


3.4. definíció. Egy f : (0,1)" — (0,14" §-doboz akkor balansz, ha tetszőleges 
y c (0,1)" esetén 
ix e (0,1j7: fi) —yjl 2 6.7) 


Teljesség. Egy f : (0,11" — (0,1)" S-doboz teljes, ha minden kimeneti bitje 
minden bemeneti bittől függ. Más szavakkal ez azt jelenti, hogy az f(x) fe 
el) függvény j. komponens Boole-függvényének igazságtáblájában legalább egy 
darab 1 található, és ez minden Il Ci C més 1 2 j A n esetén igaz. Formálisan: 


3.5. definíció. Egy f : (0,1)" — (0,1)" §-doboz teljes, ha minden 1 Ci cm és 
12 j A n esetén teljesül a következő: 


Kxeftoly:eVorm zeorroebDdHzo 8.8) 


ahol el az m dimenziós egységvektor, mely egyetlen egyest tartalmaz az i. pozíci- 
óban. 


Linearitás és affinitás. A lineritás és az affinitás definíciója a következő: 


3.6. definíció. Egy f : (10,1)" — (0,1)" §-doboz lineáris, ha felírható f(x) —Ao 
x alakban, és affin, ha felírható f(x) —Aoxeb alakban, ahol A egy n x m-es 
bináris mátrix, b c (0,1)", és o a bináris skalárszorzatot jelöli, azaz A Ox egy 
olyan bináris vektor, melynek komponensei az A mátrix sorainak és az x vektornak 
a bináris skalárszorzataként állnak elő. 


Mivel a lineáris (affin) 5-dobozokból felépülő rejtjelező könnyen analizálható, 
ezért a lineáris (affin) §5-dobozok kerülendők. 
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Lineáris struktúrák, lineáris dimenzió. Előfordulhat, hogy egy S-doboz nem 
lineáris (affin), mégis rendelkezik bizonyos parciális linearitással, azaz kimenete 
néhány bemeneti bittel lineáris (affin) kapcsolatban áll. Ezen parciális linearitás 
mérőszáma a lineáris dimenzió. 

A lineáris dimenzió formális definíciójához először a lineáris struktúra definí- 
cióját vezetjük be: 


3.7. definíció. Az a c (0,1)" bináris vektor lineáris struktúrája az f : (0,1)" — 
(0,1)" S-doboznak, ha f(x) € f(x e a) minden x c (0,1)" esetén konstans. 


Könnyen belátható, hogy egy f : (0,11" — (0,1)" függvény lineáris struk- 
túrái alteret alkotnak a (0,1])" térben. Ezen altér dimenzióját nevezzük f lináris 
dimenziójának: 


3.8. definíció. Egy f : (0,1)" — (0,1)" §-doboz lineáris dimenziója az f lineáris 
struktúrái által alkotott altér dimenziója. 


Nemlinearitás. Mivel egy helyettesítéses-permutációs rejtjelező egyetlen nemli- 
neáris eleme a helyettesítő réteg, ezért ez a kritérium központi szerepet játszik az 
S-dobozok tervezése során. 


3.9. definíció. Egy f : (0,14" — (0,14 Boole-függvény N( f) nemlinearitásán az 
affi n Boole-függvények halmazától vett távolságát értjük: 

NITIS min AN as hő 3.9 
) uefo ly valo, li T w) kössz 
ahol az L.,v(x) affin függvény uox ov alakú, továbbá két Boole-függvény tá- 
volsága alatt azon bemenetek számát értjük, melyekre a két függvény kimenete 
különbözik egymástól. 


Egy S§-doboz nemlinearitását komponens Boole-függvényeinek segítségével 
definiáljuk a következőképpen: 


3.10. definíció. Képezzük egy S-doboz komponens Boole-függvényeinek lehetsé- 
ges lineárkombinációit. Az így kapott Boole-függvények közül válasszuk ki azt, 
amelyiknek nemlinearitása minimális. Ez a minimális nemlinearitás az S-doboz 
nemlinearitása: 


N(f) N(Bof) (8.10) 


s min 
Be(0,141",B-A0 


Differenciális egyenletesség. A differenciális egyenletesség a nemlinearitás egy 
másik mérőszáma, mely a lineáris struktúráktól való távolsággal van összefüggés- 
ben. Ez a kritérium a differenciális kriptanalízissel kapcsolatban jelent meg. A 
differenciális kriptanalízis egy olyan támadási módszer, mely az §-dobozok azon 
tulajdonságát használja ki, hogy adott bemeneti differencia esetén a kimeneten nem 
minden differencia jelenik meg azonos valószínűséggel. A differenciális egyenle- 
tesség ennek az egyenetlenségnek a mérőszáma. 
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3.11. definíció. Egy f : (0,1)" — (0,1)" §-doboz D(f) differenciális egyenletes- 
ségét a következőképpen defi niáljuk: 
D(f) —27— max Kxe (0, 11" :fe)ertea)—bH. G6.1D 


a 
acf01y" bef0,1Y" ,a40 


Terjedési kritériumok, szigorú lavinahatás kritérium. Szintén a nemlineari- 
tással függenek össze a terjedési kritériumok: 


3.12. definíció. Egy f : (0,1y" — (0,1) Boole-függvény kielégíti a k-adfokú ter- 
jedési kritériumot, ha autokorrelációs függvényére igaz, hogy r r(a) — 0 minden 
k-nál nem nagyobb súlyú a c (0,1)" esetén, ahol a 6 0. 


3.13. definíció. Egy f : (0,11" — (0,1)" S§-doboz kielégíti a k-adfokú terjedési 
kritériumot, ha minden komponens Boole-függvénye kielégíti azt. 


Az első fokú terjedési kritériumot szokás szigorú lavinahatás kritériumnak 
(Strict Avalanche Criterion — SAC)is nevezni. Egy SAC tulajdonságot kielégítő 
S-doboz tetszőleges bemeneti bitjét megváltoztatva a kimenet minden egyes bitje 
2 valószínűséggel változik meg. 

S-dobozok esetén, a SAC tulajdonság teljesülésének ellenőrzésére a diffúziós 
mátrix szolgál: 


3.14. definíció. Egy f : (0,11" — (0,1)" §-doboz diffúziós mátrixa alatt azt az 
m x n méretű Wr mátrixot értjük, melyre 


ij 1 m j i i 
w- lreton":Vorm eg orrod 8.12) 


A diffúziós mátrix W("J eleme tehát azt mondja meg, hogy megváltoztatva az 
f függvény i. bemeneti bitjét a kimenet j. bitje milyen valószínűséggel változik 
meg. Ha a diffúziós mátrix minden eleme 2. akkor az S-doboz kielégíti a szigorú 
lavinahatás kritériumot. 


A kritériumok közötti kapcsolatok. Bizonyítás nélkül közöljük a következő té- 
telt, mely néhány kritérium közötti fontos kapcsolatra világít rá: 


3.5. tétel. Az f : (10,11" — (0,1)" S-dobozra az alábbi állítások ekvivalensek: 

e f nemlinearitása maximális, N(f) —271—277-1; 

e f differenciálisan egyenletes, D(f)—271—2""; 
Továbbá a fenti állítások bármelyikéből következik, hogy f kielégíti az m-edfokú 
terjedési kritériumot. 


A 3.5. tétel szerint léteznek olyan §-dobozok, melyek a nemlinearitás, a dif- 
ferenciális egyenletesség és a terjedési kritériumok szempontjából is optimálisak. 
Ezeket az S-dobozokat tökéletes S5-dobozoknak nevezzük. Ugyanakkor belátható, 
hogy a tökéletes 5-dobozok nem teljesítik a szintén fontos balansz tulajdonságot. 
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S-doboztervezés. A fenti kritétiumokat kielégítő S-dobozok tervezése nem köny- 
nyű feladat. Alapvetően két módszer létezik: a véletlen generálás és a konstrukció. 

A véletlen generálás esetén véletlen módon választunk §-dobozokat, majd ezek 

közül kiválasztjuk azokat, melyek kielégítik a kívánt kritériumokat. Ez csak ak- 

kor lehet hatákony módszer, ha a kívánt kritériumokat kielégítő S5-dobozok száma 
nagy, ellenkező esetben ugyanis nincsen arra remény, hogy véletlen választással 

pont megfelelő S-dobozokat találunk. Az ily módon kielégíthető kritériumok közé 
tartozik a balansz tulajdonság és a teljesség. A tökéletes 5-dobozok száma azonban 

nagyon kicsi, így ilyen 5-dobozokat véletlen választassál keresni reménytelen. Ek- 

kor folyamodhatunk a konstrukcióra épülő tervezési hozzáálláshoz, melynek segít- 

ségével közvetlenül a kívánt kritériumokat kielégítő S-dobozokat generálhatunk. 

Létezik például olyan konstrukciós eljárás, mellyel először generálunk egy töké- 
letes (maximális nemlinearitással rendelkező) S-dobozt, majd ezt módosítjuk oly 
módon, hogy az eredémyül kapott S-doboz kielégítse a balansz tulajdonságot és 

nemlinearitása ne csökkenjen jelentős mértékben. 


Aszimmetrikus kulcsú rejtjelezés 


Az aszimmetrikus kulcsú kriptográfia alapja, hogy a kódoló és a dekódoló 
transzformációt paraméterező kódoló és dekódoló kulcsok nem azonosak, sőt egyi- 
ket a másikból kiszámítani nagy komplexitású feladat, azaz praktikusan lehetetlen. 
Ezért a két kulcs közül az egyiket, általában a kódoló kulcsot, nyilvánosságra lehet 
hozni. Ez azért hasznos, mert a titkos kommunikáció megvalósításához nincsen 
szükség egy közös titkos kulcs létrehozására a küldő és a vevő között; elegendő 
a rejteni kívánt üzenetet a vevő nyilvános kódoló kulcsával rejtjelezni. Megje- 
gyezzük azonban, hogy gondoskodni kell a nyilvános kulcsok hitelességéről. Más 
szavakkal, a küldőnek meg kell tudnia győződni arról, hogy a használni kívánt nyil- 
vános kulcs valóban a vevő nyilvános kulcsa, és nem egy harmadik, feltehetően 
rossz-szándékú félé. A nyilvános kulcsú kriptográfia tehát oly módon egyszerűsíti 
a kulcscsere problémát, hogy titkos csatorna helyett, hiteles csatorna létezését kö- 
veteli meg a vevő és a küldő között, melyen a vevő eljuttathatja nyilvános kulcsát 
a küldőnek. 

Az alábbiakban ismertetjük az egyik leggyakrabban használt nyilvános kulcsú 
rejtjelező módszert, az RSA algoritmust, és áttekintjük annak ismert gyengeségeit. 
Mint látni fogjuk, az RSA kulcsok generálásához nagy prímszámokra van szükség. 
Ezért röviden összefoglaljuk a prímtesztelés módszereit is. 


Az RSA algoritmus 


Az RSA rejtjelező rendszer három algoritmusból áll: kulcsgenerálás, kódolás (rejt- 
jelezés) és dekódolás. 

A kulcsgenerálás a következőképpen történik: Véletlenszerűen választunk két 
nagy prímszámot, p-t és g-t, ahol p - g. Jelenleg nagy prímszámnak a legalább 
500 bites prímszámokat tekintjük. Kiszámítjuk az n — pg modulust és a p(n) — 
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(p—1)(g— 1) szorzatot, melyek tehát legalább 1000 bites számok. Választunk to- 
vábbá egy 1 — e € p(n) számot, amelyik p(n)-hez relatív prím (azaz mind (p— 1)- 
hez, mind (g — 1)-hez relatív prím). Kiszámítjuk az e inverzét modulo p(m), azaz 
megkeressük azta 1 € d € w(n) számot, melyre ed mod p(n) — 1. A nyilvános 
kulcs az (e,n) pár, a titkos privát kulcs pedig d. 

A fenti számítások hatékonyan végrehajthatók. Egyedül d kiszámítása tű- 
nik nehéznek, de ez is könnyen megoldható a kiterjesztett euklidészi algorit- 
mussal. A kiterjesztett euklidészi algoritmus meghatározza két szám, mondjuk a 
és b, legnagyobb közös osztóját, r-et, valamint azt a legkisebb t számot, melyre 
t.-b -r(moda) fennáll. A kiterjesztett euklidészi algoritmus pszeudokódja a kö- 
vetkező: 


INPUT: a (egyik szám) 
b (másik szám) 


OUIPUT: r (a és b legnagyobb közös osztója) 
t (az a legkisebb szám melyre txb mod a — r) 


// feltesszük, hogy a 5: b 











// (ellenkező esetben felcseréljük a bementeket) 
X — a 
y - b 
t0 0) 
t1- 1 
rz- b 
t —-—1 
WHILE (x mod y) !—- 0 
g — x div y // maradékos osztás eredménye 
r -— x md y // és maradéka 
t — (t0 - agxt1) mod a 
X.Y 
y-r 
t0 — t1 
tl -t 
ENDWHILE 














RETURN r, t 


Az RSA esetén 0(n) és e legnagyobb közös osztója 1, ezért ha a kiterjesztett 
euklidészi algoritmust a — p(n)-nel és b — e-vel hívjuk meg, akkor megkapjuk 
azt a t számot, melyre t -e — 1 (modg(n)). Azaz a keresett d érték pontosan a t 
szám. Az euklidészi algoritmus legfeljebb kétszer annyi lépést igényel, mint az n 
modulus logaritmusa. 


3.7. példa. Legyen p — 73, g — 151, így n — 73 -151 — 11023, p(n) — (73 — 
19(151—1) —10800. Az e paramétert e — 11-re választhatjuk, mivel (10800, 11) — 
1, hiszen 10800 — 24.3.52.9. Az e inverzét modulo e(n) az kiterjesztett eukli- 
dészi algoritmussal határozzuk meg. Az algoritmusban szereplő változók értékét 
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az egyes iterációs lépésekben (a WHILE ciklus végrehajtása során) a következő 
táblázat tartalmazza: 


iteráció g r t x y to ti x mod y 
WHILE előtt , — -  - 10800 1I 0 1 9 
B 981 9 9819 11 9 1 9819 2 
2. 1 2 982 9 2 9819 982 1 
3. 4 1 5891 2 1 982 5891 0 


A táblázatból látható, hogy mikor a WHILE ciklus befejeződik, t értéke 5891, 
azaz d — 5891. A nyilvános kulcs tehát az (e,n) — (11,11023) pár, és a titkos 
privát kulcs d — 5891. 


A kódolás menete a következő: A küldő megszerzi a vevő (e,n) nyilvános 
kulcsát. A küldő előkódolja az elküldendő üzenetet, ami azt jelenti, hogy egy n- 
nél kisebb x egész számmá konvertálja azt. Ha az üzenet túl nagy akkor a küldő 
az üzenetet blokkokra osztja, és a blokkokat egyenként konvertálja n-nél kisebb 
egésszé. Végül a küldő kiszámolja az y — x" mod n rejtjeles üzenetet. 

A dekódolás abból áll, hogy a vevő kiszámolja az x" — y! mod n számot, majd 
azt visszakonvertálja üzenetté az előkódolás inverz transzformációját használva. 

A következő tétel azt mondja ki, hogy a dekódolás helyesen működik, azaz 
XSx 


3.6. tétel. Bármely x egész számra fennáll, hogy 
(x)1—x (modn) 


BIZONYÍTÁS: Mivel d az e inverze modulo p(n), ezért valamely v egész számra 
ed — vop(n) -- 1, s így a tétel bizonyításához az 


x s x9(m-i (modn) 


modulo egyenlőséget kell belátni. 
Először tetszőleges r prímre belátjuk, hogy tetszőleges x és s egész esetén fenn- 
áll a következő: 
xx (modr) (6.13) 


Ha r prím nem osztója x-nek, akkor a Fermat-tétel (lásd 2.1 Lemma) szerint 
7 s1-1 (modr) 


Ebből azonnal következik, hogy ebben az esetben (3.13) fennáll. Ha r prím osztója 
x-nek, azaz x — 0 ( modr), akkor nyilván 


x(—41 0 (modr) 


azaz (3.13) ekkor is fennáll. 
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Visszatérve az általános esetre, mivel p— 1] p(n) és g— 1]e(n), ezért (3.13) 
felhasználásával 


x s xi! (mod p) 


x z x9(-t1 (modg) 


fennállnak. Innen pI(x"99r1 . x) és gr! — x) teljesülnek, amelyből 
pal (x9(t1 . x) is következik, s ezzel az állítást beláttuk. J 


A kódolás és — a dekódoló kulcs ismeretében — a dekódolás is hatékonyan 
végrehajtható műveletek, ugyanis a moduláris hatványozásra létezik hatékony al- 
goritmus, amit ismételt négyzetreemelés és szorzás algorimusnak neveznek. Ezt 
az algoritmust használva az e-edik hatvány kiszámítása legfeljebb 21og. e számú 
modulo n szorzással megoldható. Az ismételt négyzetreemelés és szorzás algorit- 
mus pszeudokódja a következő: 


INPUT: x (hatványozandó szám) 
e (k bites kitevő) 
n (modulus) 


OUTPUT: x"e mod n 


// az e kitevő i. legkisebb helyiértékű 
// bitje e[i] 











ce E 1 
FOR i — k-1 TO 0 
es e"z2z mod on 
IF eli] —- 1 THEN c — cxx mod n 
ENDFOR 
RETURN c 


3.8. példa. Rejtjelezzük az x — 17 üzenetet az előző példában generált nyilvános 
kulcs segítségével. Az e — 11 kitevő bináris felbontása 1011. Az ismételt négy- 
zetreemelés és szorzás algoritmusát használjuk: 


cs: 1 

el3]- 1 — c—ct-xmodn—17 

e[2]—0 — c— c? mod n 289 

elI1J- 1 — c—c2-x mod n — 1419857 mod 11023 — 8913 
e[0l—1 — c— cx mod n — 1350506673 mod 11023 — 1782 


azaz a rejtjelezett üzenet az y — 1782. 
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Az RSA biztonsága 


Az RSA algoritmus biztonsága szorosan összefügg az egész számok faktorizáció- 
jának nehézségével. Pontosabban a d dekódoló kulcs kiszámítása a nyilvános (e,n) 
kódoló kulcsból ekvivalens feladat n faktorizációjával, amiről azt sejtik, hogy nem 
oldható meg hatékonyan. Az egyik irányt könnyű bizonyítani: Ha egy támadó 
hatékonyan tudná faktorizálni n-t, akkor p és g ismeretében ő is hatékonyan végre 
tudná hajtani a kulcsgenerálás algoritmusát, azaz ki tudná számolni e inverzét mod 
(p—1)(g— 1). Az is igaz, hogy ha létezne hatékony algoritmus d kiszámolására 
e-ből és n-ből, akkor ezen algoritmus segítségével hatékonyan tudnánk faktorizálni 
n-et. Ezt azonban nehezebb bizonyítani, ezért a bizonyítást itt nem ismertetjük. 

Vegyük észre, hogy az RSA feltörése nem jelenti feltétlenül a d dekódoló kulcs 
megfejtését. A támadó célja valójában az, hogy az y — x" mod n rejtjeles üzenet és 
az (e,n) pár ismeretében kiszámolja az x nyílt üzenetet, azaz e-edik gyököt vonjon 
y-ból modulo n. Ezt nevezik RSA problémának. Nem tudjuk biztosan, hogy az 
RSA probléma és a faktorizáció problémája ekvivalensek-e. Mindenesetre a sejtés 
az, hogy az RSA probléma is nehéz feladat. 

Az RSA implementációja és konkrét felhasználása során sok részleten múlhat 
a biztonság. Számos hatékony támadás ismert az üzenethalmaz, a prímpár, a kó- 
doló és dekódoló kulcs speciális választása, valamint nem biztonságos protokollok 
kapcsán. Mindezt az alábbiakban három problémával illusztráljuk. 


Fermat-faktorizáció: p és g közeli prímek. Sikeres támadásra van lehetősé- 
günk, ha a p és g prímek távolsága nem eléggé nagy, ekkor ugyanis egyszerű 
faktorizációs lehetőség adódik az n modulusra: Tegyük fel, hogy p 5 g. Le- 
gyen t — (p1-g)/2 és s — (p— a) /2, azaz p—t--s, g—t—s. Innen n — pg — 
(t-5)(t— 5) — 1? — 57 adódik. Ha p — g különbség kicsi, akkor s is kicsi, azaz 
ts V/n. Találgassuk t értékét a következőképpen: Számítsuk ki a tj — V/n- 1, 
t; — /n7-2, . . . értékeket, s ellenőrizzük hogy t? — n különbség négyzetszámot ad- 
e. Ha igen, akkor a különbség egyenlő 52-tel. A megkapott t és s alapján már 
könnyen kiszámítható p és g. 


3.9. példa. Faktorizáljuk n — 200819-et. n lefelé kerekített négyzetgyöke 448. 
ti — 449, ám 449? — 200819 — 782 nem négyzetszám. t2 — 450, s 4502 — 200819 — 
1681 — 41? már négyzetszám, ahonnan 200819 — 4502 — 41? — (450 441) (450 — 
41) — 491 - 409. 


Kicsi kódoló kulcsok problémája. Tegyük fel, hogy egy központ r távoli ügy- 
nöknek azonos x üzenetet küld RSA rejtjelezéssel, ahol az ügynökök e nyilvá- 
nos RSA kitevőjét azonosra választották, azon az alapon, hogy az RSA rejtjelezés 
biztonsága nem múlik ezen kitevő választásán. Az ügynökök modulusai rendre 
n1,n2, . . . nr. A csatornákat lehallgató támadó az alábbi rejtjeles üzeneteket szerzi 


meg. 


yi — x" mod ni 
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y2 — x" mod nm 


Yyr — x" mod n, 


Tegyük fel, hogy e kicsi, s ezért fennáll az e C r egyenlőtlenség. Ekkor a 
támadó a kínai maradéktételt használhatja az x üzenet megfejtésére, mely a kö- 
vetkezőképpen szól: 


3.7. tétel. Tekintsük az alábbi kongruencia-rendszert, ahol az n1,n? , . . .n, pozitív 
egész számok páronként relatív prímek: 


X — yi (mod n1) 
X — y2 (mod n2) 


X — y, (mod n,) 


Ennek a kongruencia-rendszernek létezik egyértlemű megoldása modulo N — ni : 
n2:...:ny, S ez a következő alakú X — (yi : NI : Mi -- y2 : Na - M2 4... 43 Ny 
M,) mod N, ahol N; — N /n; és M; — N7! (modn;) (i — 1,2, . . . ,r). 


Jelen esetben feltehetjük, hogy az n1,n), . . . ,n, modulusok páronként relatív 
prímek, ugyanis ügynökönként véletlenszerűen választottuk a prímpárt, így ezen 
feltevés teljesülése gyakorlatilag biztos. A kínai maradéktételt alkalmazva, a tá- 
madó hatékonyan ki tudja számítani az X — x" mod ni : n) : . . . " n, maradékot. Ve- 
gyük észre, hogy x — n; (i — 1,2, . . . ,") valamint e £ r miatt xf a ny : n2 : ... ny, 
azaz az X megoldás e-edik gyökét kiszámítva a támadó magát a keresett x nyílt 
szöveget kapja. 


Közös modulus problémája. Tudjuk, hogy az RSA kódolás igen számításigé- 
nyes, ezért arra a gondolatra juthatunk, hogy célhardverben legyártatjuk egy vá- 
lasztott n modulus (egy adott (p,g) prímpár) esetére a modulo n hatványozó arit- 
metikát. Mivel azonban több felhasználós a rendszer, a központ úgy különbözteti 
meg az egyes felhasználókat, hogy az adott n modulus mellett különböző nyilvános 
kitevőket választ számukra, amelyekből különböző dekódoló kulcsok adódnak. A 
központ ezek után egy x titkos üzenetet küld két felhasználónak, A-nak és B-nek. 
A támadó lehallgatja a csatornákat, s ezzel megismeri az ya — x"4 mod n és az 
yp — x8 mod n rejtett szövegeket. Tegyük fel, hogy eA és eg relatív prímek. Így 
létezik ft és s egész, hogy t - ex - s -eg — I, ahol t- s a 0, mivel ea 5 0 és eg 5 0. 
Az általánosság korlátozása nélkül tegyük fel, hogy t — 0, azaz t — —1 - Íz]. To- 
vábbá feltehető, hogy ya és ri is relatív prímek, ezért létezik az ya inverz modulo 
n. Innen 


(ya) lel ; (vg)" - (xta)" é (xs) — xÍea-tseB — (mod n) 


alapján a támadó, kizárólag nyilvános információk és a lehallgatott rejtett szöveg- 
pár felhasználásával, dekódolni képes a titkos üzenetet. 
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Prímszámok keresése 


Az RSA kapcsán szeretnénk egy hatékony (azaz polinomiális idejű) algoritmust an- 
nak eldöntésére, hogy egy véletlenül kisorsolt egész szám prím-e vagy sem. Meg- 
nyugtató, hogy a prímek elég sűrűn találhatók az egész számok között, s így, ha 
véletlenszerűen választunk a páratlan egész számok közül, az alkalmazások szem- 
pontjából elegendően nagy valószínűséggel prímszámot választunk. 

A prímek sűrűségével kapcsolatban bizonyítás nélkül utalunk a számelmélet 
ismert tételére, amely kimondja, hogy az n pozitív egésznél kisebb prímek x(n) 
számára: 

ns 


Inn" 


II2 


3.10. példa. Számpéldaként tekintsünk egy 1099 nagyságrendű modulust, azaz 
10199 — 2552 nagyságrendű prímeket választunk. Annak a valószínűsége, hogy egy 
véletlenszerűen választott 332 bites s szám prím, a fenti kifejezés alapján becsül- 


hető: sál a 
ne (2932) — m(2951) a 2 AIm a I 


2332. 2331 7 7 2331  " 230 
Továbbá, mivel az adott számtartomány fele páros szám, elég csak a páratlanok 
közül válogatnunk, s ezzel 1/115-re duplázzuk meg a találati valószínűséget. Így 
tehát átlagosan 115 próbálkozásonként jutunk prímszámhoz a 109 nagyságrendű 
számok között. 


Ezek után már csak az a kérdés, hogy hogyan vesszük észre, hogy prímet sor- 
soltunk ki. Ez utóbbi feladatra szolgálnak a prímtesztelő algoritmusok. Több ilyen 
algortimus is létezik. Az alapelveket a Fermat prímtesztelő algoritmus kapcsán 
mutatjuk be. 


A Fermat-prímteszt. Elsőként bevezetjük a Fermat-álprím fogalmát: 

3.15. definíció. Egy n összetett szám Fermat-álprím egy b bázisra nézve, ha 
p7!-1 (modn) (3.14) 

ahol b c W,, W, — (z : 1 cz Cnés(z,n) —1]. 


A 3.15. definíció a Fermat-tételen alapul, amely szerint, ha n prímszám, akkor 
(3.14) teljesül (lásd 2.1 Lemma). Ha n összetett szám, de mégis teljesíti (3.14) 
egyenletet, akkor álprím. 

A Fermat-prímteszt tehát a következő: Ha egy véletlenszerűen sorsolt n egész 
szám egy b bázissal nem teljesíti a (3.14) egyenletet, akkor biztosan nem prím, míg 
ha teljesíti, akkor prímgyanús és tovább vizsgálandó egy következő bázissal. Ha a 
tesztelt szám k egymás utáni vizsgálat során prímgyanúsnak bizonyult, akkor nagy 
valószínűséggel prímszám. 
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A kérdés az, hogy van-e olyan összetett szám, amely tetszőleges szóbajövő 
bázisra átmegy a Fermat-próbán? Sajnos van, s ezen számokat Carmichael-szá- 
moknak nevezzük. Bizonyságul a legkisebb ilyen szám az 561. 

Felmerül továbbá az a kérdés is, hogy mekkora a valószínűsége annak az ese- 
ménynek, hogy egy n összetett szám, amely nem Carmichael-szám, egy véletlen- 
szerűen választott b ec W, bázissal kielégíti (3.14) egyenletet. Erre vonatkozik a 


2Z 42 


következő tétel: 


3.8. tétel. Ha egy n összetett szám nem Carmichael-szám, akkor legfeljebb 5 kü- 
lönböző b e W, bázissal elégíti ki (3.14) egyenletet. 


A 3.8. tétel következménye, hogy ha egy n összetett szám nem Carmichael- 
szám, akkor annak valószínűsége, hogy k alkalommal átmegy a Fermat-próbán, 
kisebb, mint 2-". 


3.2.  Blokkrejtjelezési módok 


Egy blokkrejtjelező n bit hosszú nyílt szöveg blokkokat kódol n bit hosszú rejt- 
jeles blokkokba. n tipikus értéke 64 vagy 128. Sok alkalmazásban ennél jóval 
hosszabb (vagy rövidebb) üzeneteket szeretnénk rejtjelezni. Ezért szükségünk van 
olyan eljárásokra, melyek lehetővé teszik tetszőleges hosszúságú üzenetek kódolá- 
sát egy n bites blokkrejtjelező segítségével. Ezeket az eljárásokat blokkrejtjelezési 
módoknak nevezzük. 

Az öt leggyakrabban használt blokkrejtjelezési mód a következő: ECB (Elec- 
tronic Code Book), CBC (Cipher Block Chaining), CFB (Cipher Feedback), OFB 
(Output Feedback) és CTR (Counter). Ezek működését mutatjuk be az alábbiak- 


ban. 


Az ECB mód 


ECB módban az X nyílt üzentet n bites blokkokra osztjuk. Jelölje X1 , X. , . . . , XN 
az így nyert nyílt blokkokat. Az i. rejtjeles blokkot, Y;-t, a következőképpen kap- 
juk: 

Y;— Ek(X;) i—1,2,...,N, (8.15) 
ahol Ex jelöli a blokkrejtjelező kódoló függvényét a X kulccsal paraméterezve. A 
dekódolás hasonlóan egyszerű: 


X.—Dk(Y) i—1,2,...,N, 6.16) 


ahol Dk jelöli a blokkrejtjelező dekódoló függvényét a K kulccsal paraméterezve 
(azaz az Ex függvény inverzét). 

Előfordulhat, hogy a rejtjelezni kívánt nyílt üzenet bitekben mért hossza nem 
többszöröse a rejtjelező n blokkhosszának. Ekkor az üzenetet ki kell tölteni néhány 
további bit hozzáadásával oly módon, hogy a kitöltéssel együtt az üzenet hossza n 
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többszörese legyen. Ez sok esetben csak az utolsó, csonka blokk kitöltését jelenti, 
de néha egy teljes blokk hozzáadásával is járhat. Sőt, vannak olyan kitöltési sémák 
is, melyek több, véletlenszámú blokkot is hozzáadnak az üzenethez kitöltésként, 
ezzel próbálva az üzenet valódi hosszát elrejteni egy forgalmat analizáló támadó 
elől. 

Akármennyi bitet is alkalmazunk kitöltésként, egy dolgot minden esetben biz- 
tosítani kell: a vevőnek képesnek kell lennie a kitöltésként alkalmazott bitek azo- 
nosítására, majd azok eltávolításával az eredeti nyílt üzenet visszaállítására. Ennek 
elérése érdekében sok kitöltő sémában a kitöltés utolsó bájtja a kitöltés hosszára 
vonatkozó információt tartalmaz. Ezen sémák használata esetén minden üzenet- 
nek tartalmaznia kell kitöltést, még azoknak is, amelyek hossza n többszöröse. Ha 
ugyanis megengednénk olyan üzeneteket, melyek nem tartalmaznak kitöltést, ak- 
kor egy adott üzenet vétele esetén a vevő nem tudná egyértelműen megállapítani, 
hogy az üzenet tartalmaz-e kitöltést vagy sem. Ha viszont megköveteljük, hogy 
minden üzenet tartalmazzon kitöltést, akkor ilyen probléma nem lép fel. 


Biztonság. ECB mód használata esetén, azonos nyílt blokkokhoz mindig azo- 
nos rejtjeles blokkok tartoznak (feltéve persze, hogy minden blokk ugyanazzal a 
K kulccsal lett kódolva). Ez azt jelenti, hogy ha adott két különböző X és X" nyílt 
szöveghez tartózó Y és Y" rejtjeles szöveg, akkor egy támadó a K kulcs ismerete 
nélkül is azonosítani tudja X és X" egyforma blokkjait Y és Y" egyforma blokkjai- 
nak azonosításával. 

Ha a támadó valamilyen módon nagy számú nyílt blokk - rejtjeles blokk párhoz 
jut, akkor ezekből egy szótárat (vagy kódkönyvet) építhet. Ezt a szótárat aztán ké- 
sőbb megfigyelt rejtjeles szövegek részleges dekódolásához használhatja a K kulcs 
ismerete nélkül. 

További probléma, hogy egy rejtjeles üzenet blokkjai egymással tetszőleges 
módon felcserélhetők, törölhetők, vagy más rejtjeles üzenetekből kimásolt blok- 
kokkal helyettesíthetők. Az ECB mód nem teszi lehetővé az ilyen jellegű blokkcse- 
rék, törlések és helyettesítések megbízható detektálását, mivel a rejtjeles blokkok 
nem függnek a szomszédos blokkoktól. 

Bár a fent említett problémák a nyílt üzenet rejtjelezés előtti tömörítésével és 
integritásvédelmi mechanizmusok (pl. kriptográfiai ellenőrzőösszeg) alkalmazásá- 
val enyhíthetők, az ECB mód mégsem javasolt egynél több blokkból álló nyílt 


42 


üzenet rejtjelezésére. Helyette a később ismertetett CBC mód használata ajánlott. 


Hatékonyság. Az ECB mód előnye, hogy a kódolás és dekódolás sebessége 
megegyezik a blokkrejtjelező sebességével, valamint az, hogy a kódolás és a de- 
kódolás is párhuzamosítható. Továbbá, az ECB mód lehetővé teszi a nyílt blok- 
kokhoz történő véletlen hozzáférést a rejtjeles szövegben. Ez azt jelenti, hogy a 
rejtjeles szöveg tetszőleges sorszámú blokkját dekódolni tudjuk a többi blokk de- 


kódolása nélkül, sőt a dekódolt blokk módosítása majd újrakódolása sem érinti a 
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3.11. ábra. Kódolás CBC módban. 


többi blokkot. Ez igen előnyös tulajdonság például adatbázisfájlok rejtjelezésénél, 
ami a rekordok hatékony lekérdezését és módosítását teszi lehetővé. 


Hibaterjedési tulajdonságok. A biztonsággal és hatékonysággal kapcsolatos tu- 
lajdonságok mellett meg szokták még említeni egy adott blokkrejtjelezési mód ún. 
hibaterjedési tulajdonságait. Egészen pontosan arra vagyunk kíváncsiak, hogy a 
rejtjeles üzenet átvitele során keletkezett egy bites hibának milyen hatása van a 
dekódolt nyílt üzenetre. Az egy bites hiba lehet egy bit értékének változása, vala- 
mint egy bit törlése vagy beszúrása a rejtjeles üzenetbe. Az utóbbit kerethibának 
(framing error) nevezzük. 

ECB mód esetén a rejtjeles szöveg egy bitjének megváltozása csak a bitet tar- 
talmazó rejtjeles blokkhoz tartozó nyílt blokkra van hatással, mégpedig oly módon, 
hogy az adott nyílt blokk teljes egészében használhatatlan pénzfeldobás sorozattá 
válik (a blokk minden bitje 1/2 valószínűséggel lesz helyes dekódolás után). Ezzel 
szemben egy bit beszúrása vagy törlése a hiba helye után található blokkhatárok 
elcsúszását eredményezi (innen a kerethiba elnevezés), és ily módon hatással van 
a beszúrást illetve törlést tartalmazó rejtjeles blokkhoz tartozó nyílt blokkra és az 
összes azt követő nyílt blokkra is. Ezek a blokkok használhatatlan pénzfeldobás 
sorozattá válnak. 


A CBC mód 


A CBC mód működését a 3.11. ábra szemlélteti. Az ECB módhoz hason- 
lóan a nyílt üzenetet először kitöltjük, majd a kitöltött nyílt üzenetet n bit hosszú- 
ságú blokkokra osztjuk. Ezután az i. rejtjeles blokkot úgy állítjuk elő, hogy az i. 
nyílt blokkot XOR-oljuk az (i— 1). rejtjeles blokkal, majd az eredményt kódoljuk 
a blokkrejtjelezővel. A dekódolásnál az i. rejtjeles blokkot dekódoljuk, majd az 
eredményt XOR-oljuk az (i— 1). rejtjeles blokkal és így kapjuk az i. nyílt blokkot. 
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Jelölje ismét X , X , . . . Xw a nyílt blokkokat és Y] , Y2 , . . .  Yw a rejtjeles blok- 
kokat. A kódolást tehát a következőképpen írhatjuk le formálisan: 


YE Ek(Xi1 oIV) (3.17) 
Y; — Ek(X; E Y- 1) EZ dsa sz N (3.18) 


ahol Ex jelöli a blokkrejtjelező K kulccsal paraméterezett kódoló függvényét, € 
a bitenkénti XOR művelet, és /V egy kezdeti változó (Initial Vector — IV). Az 
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IV az előző rejtjeles blokk szerepét tölti be az első nyílt blokk kódolásánál, ahol 


még nem áll rendelkezésre egy valódi előző rejtjeles blokk. A dekódolás képlete a 
következő: 


Xi — Dk(M1) EIV (.19) 
X; — Dk(Y) EY 1 EZ dope aN (3.20) 


ahol Dk jelöli a blokkrejtjelező X kulccsal paraméterezett dekódoló függvényét. 

Mint látható, az első blokk dekódolásánál szükség van az IV-re, így gondos- 
kodni kell ennek a vevőhöz történő eljuttatásáról. Ez megoldható úgy, hogy az 
IV-t ECB módban rejtjelezzük, majd a kódolt IV-t az átküldött rejtjeles üzenet elé 
csatoljuk. Az IV rejtjelezéséhez ugyanazt a kulcsot használjuk, mint az üzenet rejt- 
jelezéséhez. A vevő először az IV-t dekódolja, majd ennek ismeretében a rejtjeles 
üzenetből (3.19) és (3.20) szerint visszaállítja a nyílt üzenetet. 

Valójában az IV titkossága nem követelmény, ügyelni kell azonban az IV in- 
tegritásának védelmére. Erre azért van szükség, mert (3.19) szerint az IV értéke 
közvetlen hatással van az első visszaállított nyílt blokkra. Az IV bitjeinek módo- 
sításával tehát egy támadó az első nyílt blokk adott bitjeit manipulálni (invertálni) 
tudja. A rejtjelezés alkalmazása ezt megakadályozza, mert a rejtjelezett ÍV módo- 
sítása a támadó által nem predikálható változásokat eredményez a dekódolt IV-ben 
és így a visszaállított első nyílt blokkban is. 


Biztonság. A CBC mód egyik legfontosabb tulajdonsága, hogy az Y; rejtjeles 
blokk értéke nemcsak az X; nyílt blokktól függ, hanem az azt megelőző blokkoktól 
és az IV-től is. Ennek a tuljadonságának több kedvező hatása is van. Egyrészt 
azonos nyílt blokkokhoz nagy valószínűséggel különböző rejtjeles blokkok tartoz- 
nak. Ez akkor is igaz, ha az azonos nyílt blokkok egy nyílt üzenet részei és akkor 
is, ha két különböző nyílt üzenethez tartoznak. Pontosabban, ha két különböző X 
és X" nyílt üzenetben valamely X; és Xi blokkok azonosak, akkor az ezen blok- 
kokhoz tartozó Y; és Y; rejtjeles blokkok nagy valószínűséggel csak akkor lesznek 
azonosak, ha i — j és minden k — 1,2, . . . : — 1 esetén X, — XZ, valamint IV — IV" 
(azaz X és X" minden i-nél kisebb sorszámú blokkja, valamint a két kezdeti változó 
értéke is megegyezik). Ebből az is látszik, hogy ha teljesen azonos nyílt üzeneteket 


5Meg kell azonban jegyezni, hogy ez a függés csak az előző rejtjeles blokkon, Y;..1-en keresztül 
valósul meg. 
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különböző IV-t alkalmazva rejtjelezünk, akkor különböző rejtjeles üzenetekhez ju- 
tunk. Az IV üzenetenkénti változtatása megoldható az IV véletlen módon történő 
generálásával, vagy egy sorozatszám IV-ként történő használatával. 

Az ECB móddal ellentétben, a CBC mód korlátozott mértékben lehetőséget 
nyújt a rejtjeles blokkok felcserélésének, törlésének és beszúrásának detektálására. 
Ez azért van, mert egy Y; rejtjeles blokkot csak akkor lehet helyesen dekódolni, ha 
azt a helyes Y; 1 blokk előzi meg. Két blokk, Y; és Y; átvitel során történő felcse- 
rélésekor azonban Y; dekódolásánál Yj; 1-et használja a vevő. Az így eredményül 
kapott Dxk(X;) CY;- 1 egy pénzfeldobás sorozat lesz, amit a vevő könnyen kiszűrhet 
mint egy várt struktúrától való durva eltérést. Meg kell azonban jegyezni, hogy 
a nyílt üzenet maga is tartalmazhat véletlen blokkokat (pl. egy véletlen módon 
generált tranzakció azonosítót), ezért a véletlen blokkok detektálására alapozott 
integritásvédelem nem mindig megbízható. Általában is igaz, hogy ha az alkalma- 
zás megkívánja az üzenetek integritásának védelmét, akkor erre a célra speciális 
integritásvédő mechanizmusokat (lásd később) ajánlott használni és nem tanácsos 
kizárólag a CBC mód által nyújtott lehetőségekre hagyatkozni. 

A CBC mód egy ismert gyengesége a következő: Ha két rejtjeles blokk, Y; és 


Y; megegyezik, akkor (3.18) használatával kapjuk, hogy 
Y; 1 EY; 1 —XOX;. (3.21 


Mivel a támadó Y;. 1-et és Y; 1-et ismeri, ezért (3.21) alapján két nyílt blokk XOR 
összegére vonatkozóan jut információhoz. Innen a nyílt üzenetek redundanciáját 
felhasználva, a támadó sikerrel kísérelheti meg X; és X j megfejtését. A gyakor- 
latban ennek a támadásnak az szab korlátot, hogy a rejtjeles blokkok egyenletes 
eloszlásúak, ezért annak a valószínűsége, hogy kettő megegyezik a születésnapi 
paradoxon alapján becsülhető. A támadás akkor hatékony, ha a megfigyelt rejtjeles 
blokkok száma 27 nagyságrendjébe esik. A tipikus n — 64 esetben ez több gigabájt 
adat megfigyelését igényli. 

Hatékonyság. A CBC módban történő kódolás és dekódolás sebessége lényegé- 
ben megegyezik a blokkrejtjelező sebességével, mert a blokkonként végrehajtott 
XOR művelet által okozott késleltetés elhanyagolható a blokkrejtjelezéséhez szük- 
séges időhöz képest. A CBC mód hátránya, hogy a kódolás nem párhuzamosítható. 
Egy másik hátrány, hogy egy nyílt blokk módosítása az összes őt követő blokk 
újrakódolását igényli. Ezzel szemben a dekódolás párhuzamosítható és egy nyílt 
blokkhoz történő módosítás nélküli hozzáférés (olvasás) nem érinti a többi blokkot. 
Az ECB móddal ellentétben tehát a nyílt blokkokhoz történő véletlen hozzáférés a 
rejtjeles szövegben csak olvasás esetén hatékony. 


Hibaterjedési tulajdonságok. Ha a rejtjeles üzenet átvitele során az i. rejtjeles 
blokk j. bitje megváltozik, akkor ez hatással lesz az i. és az (i-- 1). nyílt blokk 
visszaállítására. Egészen pontosan az i. visszaállított nyílt blokk pénzfeldobás so- 
rozat lesz, míg az (i-- 1). visszaállított nyílt blokkban csak a j. bit lesz hibás. Az 
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(i 3-2). nyílt blokkra a hiba hatása már nem terjed ki. Az egy bithibából való fel- 
épülés képességét önszinkronizációnak is nevezzük. A CBC mód tehát ebben az 
értelemben önszinkronizáló. 

A CBC mód azon tulajdonságát, hogy az i. rejtjeles blokk j. bitjének megvál- 
toztatása az (i-- 1). visszaállított nyílt blokkban csak a j. bit megváltozását ered- 
ményezi, egy támadó bizonyos esetekben sikerrel használhatja ki egy adott nyílt 
blokk bitjeinek manipulálására. Ezért mégegyszer hangsúlyozzuk a kriptográfiai 
integritásvédő mechanizmusok alkalmazásának szükségességét. 

Az ECB módhoz hasonlóan egy bit elvesztése vagy beszúrása a rejtjeles üze- 
netből illetve üzenetbe a blokkhatárok elcsúszását eredményezi, és a hiba helyétől 
kezdve minden visszaállított nyílt blokk használhatatlanná válik. Bitvesztésből és 
-beszúrásból tehát nem áll helyre a rendszer. 


A CFB mód 


Vannak olyan alkalmazások, melyekben a rejtjelező blokkhosszánál rövidebb 
üzeneteket (pl. karaktereket vagy akár biteket) kell rejtjelezni. Ráadásul az alkal- 
mazás késleltetésre vontakozó követelményei olyanok lehetnek, hogy a küldőnek 
nincs ideje megvárni, míg e rövid üzenetekből összegyűlik egy blokkra való. Rö- 
vid üzenetenként egy blokkot elküldeni viszont pazarló lenne, így a CBC mód nem 
jöhet szóba. A megoldás a CFB mód alkalmazása lehet, mely a blokkrejtjelezőt 
egy önszinkronizáló kulcsfolyam rejtjelezővé alakítja. 

A CFB mód működését a 3.12. ábra szemlélteti. Tegyük fel, hogy s bites ka- 
raktereket szeretnénk rejtjelezni. Ekkor az i. karakter, x; rejtjelezéshez egy n bites 
belső shift-regiszter tartalmát rejtjelezzük a blokkrejtjelezővel, majd az eredmény 
első s bitjét XOR-oljuk x; bitjeivel és így kapjuk az i. rejtjeles karaktert, y;-t. Ezt 
egyfelől elküldjük a vevőnek, másfelől jobbról beléptetjük a shift-regiszterbe. A 
következő karakter rejtjelezésekor tehát már a shift-regiszter új tartalmát fogjuk 
rejtjelezni. A dekódolás hasonlóan történik. A shift-regiszter aktuális tartalmát 
rejtjelezzük, majd az eredmény első s bitjét XOR-oljuk az y; rejtjeles karakter bit- 
jeivel és így kapjuk vissza az x; nyílt karaktert. Ezután y;-t jobbról beléptetjük a 
shift-regiszterbe. Figyeljük meg, hogy a kódolásnál és a dekódolásnál is a blokk- 
rejtjelező Ex kódoló függvényét használjuk. 

Mielőtt az első karaktert kódolnánk, a shift-regisztert fel kell tölteni egy kezdeti 
értékkel, amit a CBC módhoz hasonlóan itt is IV-nek nevezünk. Az első néhány 
rejtjeles karakter dekódolásához a vevőnek is szüksége van a küldő által használt 
IV-re, így azt valamilyen módon el kell juttatni a vevőhöz. Mivel CFB módban 
az IV a rejtjelező függvényen keresztül lép be a folyamatba, ezért az IV nyíltan 
is elküldhető a vevőnek. Egyrészt, az IV ismerete nem segíti a támadót, mert a 
blokkrejtjelező által használt K kulcs nélkül úgysem tudja megfejteni az üzenetet. 
Vegyük észre, hogy a shift-regiszter tartalma úgyis ismertté válik a támadó szá- 
mára az első n/s karakter feldolgozása után, hiszen a támadó által is megfigyelhető 
rejtjeles karaktereket léptetjük be a shift-regiszterbe. A rendszer biztonsága tehát 
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shift-regiszter (n) shift-regiszter (n) 





3.12. ábra. Kódolás és dekódolás CFB módban. 


nem a shift-regiszter állapotának titokban tartására épül, és ez a kezdeti állapotra 
éppen úgy igaz, mint a későbbi állapotokra. Másrészt, a blokkrejtjelező tulajdonsá- 
gai miatt, az IV bitjeinek módosítása a támadó által nem predikálható változásokat 
eredményez az első (és esetleg néhány további) visszaállított nyílt karakterben. A 
támadó tehát az IV manipulálásával nem tudja a nyílt szöveg kiválasztott bitjeit 
manipulálni. 

Az IV vevőhöz történő eljuttatásának legegyszerűbb módja az, amikor a küldő 
az üzenet karakterei előtt, nyíltan küldi el az IV-t a vevőnek. A vevő nem alkalmaz 
külön eljárást az IV feldolgozására, hanem ugyanazt a dekódoló algoritmust fut- 
tatja, mint a rejtjeles karakterek vételénél. Így a vevő karakterenként lépteti be az 
IV-t a shift-regiszterébe. A dekódoló kimenetén eközben generálódó karaktereket 
a vevő eldobja. Mire az első rejtjeles karakter megérkezik, a vevő shift-regisztere 
már helyes állapotban van, és így a rejtjeles karakter dekódolása sikeres lesz. Ez az 
eljárás a CHB mód önszinkronizáló tulajdonságát használja ki, azaz azt, hogy n/s 
rejtjeles karakter helyes vétele után a dekódoló helyes állapotba kerül, függetlenül 
attól, hogy milyen állapotban volt a karakterek vétele előtt. 

Megjegyezzük, hogy bár a CFB mód bevezetését a rövid üzenetek rejtjelezé- 
sének képessége motiválta, semmi nem szól az ellen, hogy teljes blokkok rejtjele- 
zésére is használjuk. Más szóval, lehetséges az s — n eset. Ekkor az ECB és CBC 
módok mintájára, a CFB kódoló működését a következő módon írhatjuk le: 


Y; — X;OEk(V-1) TE2 3 s (3.23) 


A dekódoló működését pedig a következő egyenletek definiálják: 
XI Y; 0 Ek(Y-1) VESZ RÁ egy (3.25) 


Biztonság. A CFB mód hasonló láncolási tulajdonságokkal rendelkezik, mint a 
CBC mód: az i. rejtjeles karakter értéke nemcsak az i. nyílt karaktertől függ, hanem 
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az összes azt megelőző nyílt karaktertől és az IV-től is. Ez a függés azonban csak 
az előző n/s rejtjeles karakteren keresztül valósul meg. Ez tehát azt jelenti, hogy 
egy adott rejtjeles karakter helyes dekódolásához elegendő a megelőző n/s rejtje- 
les karakter helyes értékének ismerete. Mindenesetre, ha két azonos nyílt szöveget 
különböző IV-ket alkalmazva rejtjelezünk, akkor a rejtjeles szövegek különbözők 
lesznek. Továbbá, rejtjeles karakterek módosítása, törlése, beszúrása, és felcse- 
rélése a hiba helye után (mindaddig amíg a hibás karakterek a shift-regiszterben 
jelen vannak) pénzfeldobás sorozatokól álló nyílt karakterek visszaállítását ered- 
ményezi, tehát sok esetben detektálható. 


Hatékonyság. CFB módban a kódolás és a dekódolás sebessége a blokkrejtje- 
lező sebességének s/n-szerese. Ez s — n esetén egyenlőséget jelent, s € n esetén 
viszont a CFB módú kódolás sebessége kisebb, mint a blokkrejtjelező sebessége, 
ami egyszerűen abból adódik, hogy a blokkrejtjelező kimenetének csak töredék 
részét használjuk. A CBC módhoz hasonlóan a dekódolás CFB módban is párhu- 
zamosítható, a kódolás viszont nem. Tetszőleges rejtjeles karaktert dekódolni lehet 
a többi karakter dekódolása nélkül, ha viszont a dekódolt karaktert módosítani is 
akarjuk, akkor az összes őt követő karaktert újra kell rejtjelezni. A nyílt karak- 
terekhez való véletlen hozzáférés a rejtjeles szövegben tehát csak olvasás esetén 
hatékony. 


Hibaterjedési tulajdonságok. Tegyük fel, hogy egy rejtjeles karakter egy bitje 
megváltozik. Mivel a hibás rejtjeles karakter bekerül a shift-regiszterbe, a hiba ha- 
tása kiterjed és mindaddig érezhető lesz, amíg a hibás karakter a shift-regiszterben 
van. Egészen pontosan, a j. bit hibája egy rejtjeles karakterben a j. bit hibáját 
okozza az adott rejtjeles karakterből visszaállított nyílt karakterben, az azt követő 
n/s visszaállított nyílt karakter pedig használhatatlan pénzfeldobás sorozat lesz. 
Egy támadó tehát egy adott nyílt karakter bitjeit manipulálni tudja, bár az adott 
karaktert követően megjelenő véletlen karakterek azonosítása a támadás detektálá- 
sához vezethet. A véletlen karakterek azonban lehet, hogy túl későn érkeznek, és 
addigra a támadó már elérte a célját. Továbbá, az utolsó átküldött karakter mindig 
támadható, mert azt nem követi semmi, amiből a támadásra következtetni lehetne. 

CFB mód használata esetén bitvesztésből és -beszúrásból származó hibákból 
is felépül a rendszer, mert a hiba után érkező helyes karakterek , kitolják" a hibát a 
shift-regiszterből és n/s lépés után visszaáll a helyes állapot. 


Az OFB mód 


A CFB mód hátránya, hogy egy egy bites hiba a rejtjeles szövegben több de- 
kódolt karaktert tesz használhatatlanná. Előfordulhat, hogy az alkalmazás jellege 
nem teszi lehetővé ezen hibák dekódolás előtti javítását (pl. a vett karaktereket 
azonnal fel kell dolgozni, de nem hatékony minden átküldött rejtjeles karakterhez 


ML 


hibajavítást lehetővé tevő redundáns biteket csatolni). Ezért ebben az esetben, ha 
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( shift-regiszter (n) 








3.13. ábra. Kódolás OFB módban. A dekódolás ugyanilyen séma szerint történik, 
csak a rejtjeles karakterek lépnek be, és a nyílt karakterek lépnek ki. 


a bithiba valószínűsége nagy (azaz a csatorna zajos), akkor a CFB mód nem hasz- 
nálható. Ilyenkor OFB vagy CTR módot használhatunk. Ezen módok egyik közös 
jellemezője, hogy a blokkrejtjelezőt egy szinkron kulcsfolyam rejtjelzővé alakít- 
ják, melyben a rejtjelező belső állapota (a shift-regiszter tartalma) nem függ sem 
a nyílt sem a rejtjeles karakterektől, és így egy rejtjeles karakterben bekövetkező 
bithiba hatása nem terjed ki más karakterekre. 

Az OFB mód működését a 3.13. ábra szemlélteti. Az ábrán a kódolás váz- 
lata látható. Mivel szinkron kulcsfolyam rejtjelezők esetében a dekódolás sémája 
megegyezik a kódolással (csupán annyi a különbség, hogy a bemeneten rejtjeles 
karakterek lépnek be és a kimeneten nyílt karakterek jönnek ki), ezért a dekódoló 
működését sem OFB sem CTR mód esetén nem illusztráljuk külön ábrán. 

Az OFB kódoló vázlata feltűnő hasonlóságot mutat a CFB kódoló vázlatával. 
A két rendszer között annyi a különbség, hogy OFB esetén nem a rejtjeles ka- 
rakter van visszacsatolva, hanem a blokkrejtjelező kimenete. Az i. nyílt karakter, 
x; rejtjelezése tehát a CFB módhoz hasonlóan történik: a shift-regiszter aktuális 
tartalmát rejtjelezzük, majd az eredmény első s bitjét XOR-oljuk x;-vel (melyről 
feltesszük, hogy szintén s bites) és így kapjuk az i. rejtjeles karaktert, y;-t. Ezután 
a blokkrejtjelező kimenetét beléptetjük a shift-regiszterbe. Dekódolásnál ugyanez 
történik: a shift-regiszter aktuális tartalmát rejtjelezzük, majd az eredmény első s 
bitjét XOR-oljuk y;-vel és így kapjuk vissza x;-t. Ezután a blokkrejtjelező kimene- 
tét beléptetjük a shift-regiszterbe. 

A CFB módhoz hasonlóan, az első karakter kódolása és dekódolása előtt a 
shift-regisztereket egy IV kezdeti értékkel kell feltölteni. 


Biztonság. Az IV titkosságát nem kell biztosítani. Ügyelni kell azonban arra, 
hogy minden nyílt üzenet (ahol üzenet alatt most egy karaktersorozatot értünk) kó- 
dolásához különböző IV-t használjunk. Ellenkező esetben mindkét nyílt üzenetet 
pontosan ugyanazzal a kulcsfolyammal fogjuk kódolni, és egy támadó a két rejtje- 
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les üzenetet egymással XOR-olva a nyílt üzenetek XOR összegét kapja, melyből az 
üzenetek redundanciáját ismerve sikerrel kísérleheti meg az üzenetek megfejtését. 
Az IV-k különbözőségét például úgy lehet biztosítani, hogy az üzenetek sorszámát 
hasznájuk IV-nek. 

A CFB móddal ellentétben, az OFB mód esetén az i. rejtjeles karakter értéke 
csak az i. nyílt karaktertől (és a shift-regiszter tartalmától) függ. Ennek ellenére, a 
CFB módhoz hasonlóan, a rejtjeles karakterek törlését, beszúrását, és sorrendjének 
megváltoztatását korlátozott mértékben mégis detektálni lehet. Ez azért van, mert 
egy karakter helyes visszaállításához a shift-regiszter tartalmának meg kell egyez- 
nie a karakter kódolásánál használt shift-regiszter-tartalommal. Ha azonban y;-t 
felcseréljük y j-vel, akkor y; dekódolásánál a shift-regiszter tartalma az y ; előállítá- 
sánál használt tartalom lesz. Ebből kifolyólag az y;-ből visszaállított nyílt karakter 
bitjei pénzfeldobás sorozatot alkotnak. 


Hatékonyság. A CFB módhoz hasonlóan, a kódolás és dekódolás sebessége a 
blokkrejtjelező sebességének s/n-szerese. Míg CFB módban az y; rejtjeles ka- 
rakter dekódolásához elegendő az Y; ,/5, Yi-n/s-r15 : : : , Yi—1 Tejtjeles karaktereket 
beléptetni a shift-regiszterbe, addig OFB mód esetén az IV-ből indulva elő kell 
állítani az y; kódolásánál használt shift-regiszter-tartalmat. Ezt nem lehet párhu- 
zamosítnai, ezért a CFB móddal ellentétben, sem a kódolás sem a dekódolás nem 
párhuzamosítható. Ugyanakkor, mivel a generált kulcsfolyam nem függ a nyílt 
szövegtől, ezért az off-line módon előre kiszámítható még mielőtt a nyílt szöveg 
rendelkezésre állna. Ez nagy mértékben gyorsíthatja a kódolás és dekódolás műve- 
letét. A megfelelő shift-regiszter-állapot elérése után tetszőleges rejtjeles karakter 
dekódolható, módosítható és újrakódolható a többi karakter változtatása nélkül. Az 
OFB mód tehát támogatja a nyílt karakterekhez való véletlen hozzáférést a rejtjeles 
szövegben, mind olvasás, mind írás esetén. 


Hibaterjedési tulajdonságok. Mint azt már említettük, a CFB móddal ellentét- 
ben, az OFB mód nem terjeszti ki a rejtjeles szövegben keletkezett bithibát több 
visszaállított nyílt karakterre. Egy rejtjeles karaker j. bitjének változása csak a 
visszaállított nyílt karakter j. bitjére van hatással. Ez egyfelől előny, mert az OFB 
módot Zajos átviteli csatorna esetén is használhatóvá teszi. Másrészt viszont hát- 
rány, mert egy támadó a visszaállított nyílt szöveg bitjeit manipulaláni tudja a meg- 
felelő rejtjeles bitek módosításával. 

Bitvesztésből és -beszúrásból származó hibából nem épül fel a rendszer, mert 
a hiba helyét követően a karakterhatárok elcsúsznak és minden további karakter 
hibásan áll vissza. Ezért OFB mód használata esetén speciális újraszinkronizáló 
pontokat (markereket) kell beiktatni a karakterfolyamba, melyek lehetővé teszik a 
szinkronból történt esetleges kiesésekből való felépülést. 
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számláló 





3.14. ábra. Kódolás CTR módban. A dekódolás ugyanilyen séma szerint történik, 
csak a rejtjeles karakterek lépnek be, és a nyílt karakterek lépnek ki. 


A CTR mód 


A CTR mód működése nagyon hasonlít az OFB módhoz. A különbség annyi, 
hogy nincs visszacsatolás, helyette a shift-regiszter által tárolt értéket minden lé- 
pésben eggyel növeljük. Ezt úgy is felfoghatjuk, mintha egy számláló aktuális 
értékét rejtjeleznénk a blokkrejtjelezővel. A CTR mód működését a 3.14. ábrán 
szemléltetjük. 

A működés hasonlóságából fakadóan a CTR mód tulajdonságai nagyban ha- 
sonlítanak az OFB mód tulajdonságaihoz. Ezért itt most csak a lényeges különbsé- 
gekre térünk ki. 


Biztonság. CTR mód esetén a generátor periódusát könnyű megállapítani, hiszen 
azt a számláló mérete határozza meg. n bites számláló esetében a periódushossz 
27. A biztonsággal kapcsolatos többi tulajdonság megegyezik az OFB mód tulaj- 
donságaival. 


Hatékonyság. Az OFB móddal ellentétben, CTR módban mind a kódolás, mind 
a dekódolás párhuzamosítható, hiszen az i. karakter feldolgozásához szükséges 
shift-regiszter-tartalmat a számláló értékének megfelelő beállításával azonnal elő 
tudjuk állítani. A hatékonysággal kapcsolatos többi tulajdonság megegyezik az 
OFB mód tulajdonságaival. 


3.3. — Hitelesítési feladatok 


A titkosításon kívül fontos biztonsági szolgáltatás még az integritásvédelem, a hi- 
telesítés, és a letagadhatatlanság. Ezekkel a szolgáltatásokkal foglalkozunk ebben 
a szakaszban. Először bevezetünk egy újabb kriptográfiai primitívet, a hash függ- 
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vényt, mely gyakran alkalmazott építőelem az integritásvédelmi és a hitelesítlsi 
feladatok megoldásában. Ezután bemutatjuk a szimmetrikus kulcsú üzenethitelesí- 
tési technikákat, majd az aszimmetrikus kulcsú digitális aláírást. Utóbbi már leta- 
gadhatatlanság szolgáltatást is biztosít. Végül röviden összefoglaljuk a nyilvános 
kulcsok hitelesítésének alapjait, valamint a kihívás-válasz alapú partnerhitelesítés 
módszereit. 


Hash függvények 


A kriptográfiai hash függvényeket leggyakrabban arra használjuk, hogy segít- 
ségükkel a hosszú üzeneteket kompakt módon reprezentáljuk. Ez azért hasznos, 
mert így számos alkalmazásban nagy méretű üzenetek helyett azok kompakt rep- 
rezentációján kell csak műveleteket végeznünk. Az egyik legtipikusabb ilyen al- 


42 z 


kalmazás az, amikor nem magára az üzenetre készítünk digitális aláírást, hanem 
annak kompakt reprezentációját írjuk csak alá (lásd később a 3.3. szakaszt). 

Formálisan, egy Ah : (0,14 — (0,1)" hash függvény tetszőleges hosszúságú bi- 
náris sorozatot rögzített n hosszúságú bináris sorozatba képez le. A hash függvény 
kimenetét szokás hash értéknek vagy lenyomatnak is nevezni. 

Mivel a hash függvény ősképtere definíció szerint nagyobb, mint a képtere, 
ezért az ütközések elkerülhetetlenek. Itt ütközés alatt két különböző x -£ x/ beme- 
netet értünk, melyeknek hash értéke megegyezik, azaz h(x) — h(x"). Kriptográfiai 
hash függvények esetében azonban azt követeljük meg, hogy ilyen ütközéseket ne- 
héz legyen találni. Pontosabban, a kriptográfiai hash függvényekkel kapcsolatban 
a következő három tulajdonságot szokás megkövetelni: 


e (Erős) ütközés-ellenállóság: Egy h hash függvény (erősen) ütközés-ellen- 


álló, ha nehéz feladat két olyan különböző ősképtérbeli x -£ x" elemet találni, 
melyeknek megegyezik a hash értéke, azaz h(x) — h(x"). 


Gyenge ütközés-ellenállóság: Egy h hash függvény gyengén ütközés-ellen- 
álló, ha bármely adott ősképtérbeli x elemhez nehéz olyan másik ősképtér- 
beli x" £ x elemet találni, melynek hash értéke megegyezik x hash értékével, 
azaz h(x") — h(x). 


Egyirányúság:Egy A hash függvény egyirányú, ha bármely y képtérbeli elem- 
hez, melynek ősképe a priori nem ismert, nehéz feladat olyan ősképtérbeli x 
elemet találni, melynek hash értéke pontosan y, azaz h(x) — y. 


Figyeljük meg a különbséget a gyenge és az erős ütközés-ellenállóság tulajdon- 
ság között. Gyenge ütközés-ellenállóság esetén azt követeljük meg, hogy egy adott 
x-hez nehéz legyen találni egy x"-t, melynek hash értéke megegyezik x hash értéké- 
vel. Ezzel szemben, ütközés-ellenállóság esetén nem rögzítjük egyik ősképtérbeli 
elemet sem, hanem azt követeljük meg, hogy nehéz legyen tetszőleges ütközést 
találni. 
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A fenti tulajdonságok bizonyos mértékben összefüggnek egymással. Könnyen 
igazolható például, hogy az ütközés-ellenállóságból következik a gyenge ütközés- 
ellenállóság. Tegyük fel ugyanis, hogy létezik olyan A hash függvény amely üt- 
közés-ellenálló, de nem gyengén ütközés-ellenálló. Ekkor egy adott x bemenethez 
könnyen tudunk találni egy olyan x" £ x bemenetet, melyre h(x ) — h(x). Ez azon- 
ban azt jelenti, hogy könnyen találtunk egy ütközést, mégpedig az (x,x") párt, ami 
ellentmond azon feltevésünknek, hogy Ah ütközés-ellenálló. 

Kicsit bonyolultabban bizonyítható, hogy az ütközés-ellenállóságból követke- 
zik az egyirányúság is. A bizonyítást itt nem részletezzük. Látjuk tehát, hogy az 
ütközés-ellenállóság a legerősebb tulajdonság, ezért érdemes az ütközés-ellenálló 
hash függvények tervezésére koncentrálni. 


A születésnapi paradoxon 


Az ütközés-ellenállósággal szoros kapcsolatban áll a hash függvény kimenetének 
mérete, amelyet korábban n-nel jelöltünk. Ahhoz, hogy ezt a kapcsolatot megért- 
sük, először a születésnapi paradoxonnal kell megismerkednünk. Ezt a követ- 
kezőképpen vezethetjük be: Adott egy N elemű halmaz, melyből véletlenszerűen 
választunk k elemet visszatevéssel (azaz egy elemet többször is választhatunk). 
Kérdés, hogy mekkora valószínűséggel lesz a választott elemek között legalább 
két azonos? 

Először annak a valószínűségét számoljuk ki, hogy minden választott elem kü- 
lönböző. Ehhez vegyük észre, hogy N elemből k különbözőt N alatt a k féleképpen 
választhatunk, és ezen k különböző elem lehetséges sorrendjeinek száma k!. To- 
vábbá, ha ismétlést is megengedünk, akkor N elemből k-t pontosan N" féleképpen 
választhatunk. Ebből a keresett P valószínűség: 


a(g) 


NE 
(N—k-R1)-(N—k-42)-...-(N—1)-N 
Nk 


-0-De-H- e-t 


Ha N nagy, akkor alkalmazhatjuk a következő közelítést: 


tel uuő 
TTzA GES 


Ennek segítségével P-re az alábbi közelítést kapjuk: 


P — 





za. 


1 7 k—1 
Psxe N.-e N....-e N 
— k(k-D 
-e 
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A fentiek alapján annak valószínűsége, hogy k elem visszatevéses választása 
esetén legalább két választott elem azonos a következő: 


k(k—1) 


1—e7w (3.26) 


A (3.26) kifejezést felhasználva kiszámolhatjuk, hogy hány húzást kell végezni 
ahhoz, hogy valamilyen előre adott e valószínűséggel legyen a választott elemek 
között legalább két azonos elem: 


1 
k s 4/2Nin (B.2T) 
1—e 


ahol ak(k—1) As k? közelítést alkalmaztuk. Ha például £ — 0.5, akkor k s 1.1774VN 
adódik, míg e — 0.9 esetén azt kapjuk, hogy k A 2.146VN. 

Ha a fenti eredményeket arra az esetre alkalmazzuk, amikor a halmaz elemei 
születésnapok (azaz N — 365), akkor azt kapjuk, hogy 1.1774365 sz 23 véletlen 
választott ember között 0.5 valószínűséggel lesz legalább kettő akiknek egybe esik 
a születésnapja, míg 2.146V365 s 41 véletlen választott ember esetén egy közös 
születésnapi party lehetőségének valószínűsége már 0.9. Ez elsőre meglepőnek 
tűnik, mert intuitíve nem várnánk, hogy ilyen kis számú ember esetén ilyen nagy 
valószínűségeket kapunk. Ebből származik a születésnapi paradoxon elnevezés. 

A születésnapi paradoxonnak mélyreható hatása van a hash függvények bizton- 
ságára vonatkozóan. A születésnapi paradoxon értelmében ugyanis kb. V2" — 27 
véletlen választott ősképtérbeli elem között nagy valószínűséggel lesz legalább egy 
ütköző pár. Azaz, ha 5 túlságosan kicsi, akkor egyszerű véletlen választással haté- 
konyan lehet ütközéseket generálni. A mai technológia mellett ezért a hash függ- 
vény kimenetének méretét legalább n — 128 bitre érdemes választani. 

A véletlen választáson alapuló ütközés-generálás hash függvények ellen ha- 
sonlít a rejtjelezőknél tárgyalt kimerető kulcskeresés támadáshoz. A rejtjelezőknél 
láttuk, hogy a megfelelő kulcsméret választása szükséges feltétele a rejtjelező biz- 
tonságának. Hasonlóképpen, a hash függvény kimenetének megfelelő méretezése 
szükséges feltétele az ütközés-ellenállóságnak. Ugyanakkor elképzelhető, hogy 
a hash függvény algebrai struktúrájában rejlő gyengeségek miatt, a hash függ- 
vény nem ütközés-ellenálló, annak ellenére, hogy kimenetének mérete megfelelően 


nagy. 





Iteratív hash függvények 


A gyakorlatban használt hash függvények iteratív módon állítják elő a bemenet 
hash értékét. Az itertív hash függvények működésének vázlata a 3.15. ábrán lát- 
ható. Az iteratív hash függvény lelke az f tömörítő függvény. Az f tömörítő 
függvénynek két bemente van, ahol az egyik bemenet mérete b bit, a másik beme- 
net mérete pedig n bit, azaz megegyezik a hash függvény kimenetének méretével. 
Az f függvény kimenetének mérete n bit. 
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x üzenet kitöltés 








3.15. ábra. Az iteratív hash függvény működésének vázlata. 


A bemeneti üzenet feldolgozása b bites blokkokban történik. Az i. iterációs 
lépés során, az f függvény egyik bementére az i. bemeneti blokk, a másik beme- 
netére pedig az előző iterációs lépés kimenete kerül, s az f függvény kimenete 
adja az i. iterációs lépés kimenetét, amelyet i. láncolási értéknek (chaining value) 
nevezünk, és CV;-vel jelölünk. Az első iterációs lépésnél egy CVao kezdő láncolási 
értéket használunk, ami a hash függvény specifikációjában rögzített konstans. Az 
utolsó iterációs lépés kimenete adja a hash függvény kimenetét, azaz a hash értéket. 

Ha a bemenet mérete nem egész számú többszöröse b-nek, akkor a bemeneti 
üzenetet a feldolgozás előtt ki kell tölteni. A célnak megfelelő az egyszerű, 0 bitek- 
kel történő kitöltés. Ennél azonban biztonságosabb, ha olyan kitöltést alkalmazunk 
amely tartalmazza az üzenet hosszának bináris reprezentációját. Erre vonatkozik a 


2Z 42 


következő tétel, amit bizonyítás nélül közlünk: 


3.9. tétel (Merkle-Damgard- (MD) kiegészítés). Tegyük fel, hogy a h iteratív 
hash függvényünk f kompressziós függvénye ütközés-ellenálló tulajdonsággal ren- 
delkezik. Ha a h bementére kerülő üzenetet kiegészítjük egy blokkal, amely tartal- 
mazza az üzenet bithosszát, akkor a h hash függvény is ütközésmentes lesz. 


Számos iteratív hash függvény konstrukció létezik, amely blokkrejtjelzőt hasz- 
nál tömörítő függvényként. Ilyen például a Davies-Meyer-séma, melynek tömörítő 
függvényét a 3.16. ábra szemlélteti. A Davies-Meyer tömörítő függvény esetén 
a hash függvény belső láncolási értéke a blokkrejtjelező bemenetére, a feldolgo- 
zandó üzenet aktuális blokkja pedig a blokkrejtjelező kulcsbementére kerül. A 
blokkrejtjelező kimenete és a bemenetként használt láncolási érték XOR összeg 
adja a következő láncolási értéket. 

A Davies-Meyer séma előnyét a következő tétel foglalja össze: 


3.10. tétel. A Davies-Meyer-séma egyirányú hash függvényre vezet, ha az E transz- 
formáció véletlen leképezéssel modellezhető. 


A Davies-Meyer-séma kapcsán megjegyezzük azonban, hogy kis blokkméretű 
(pl. 64 bites) blokkrejtjelező esetén az így nyert hash függvény nem lesz ütközés- 
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3.16. ábra. A Davies-Meyer tömörítő függvény. 


ellenálló a születésnapi paradoxon miatt. Ezért tanácsos egy legalább 128 bites 
blokkrejtjelező használata. 

A blokkrejtjelezőre épülő hash függvények hátránya, hogy nem feltétlenül gyor- 
sak, hiszen a blokkrejtjelező nem az adott feladatra lett tervezve és optimalizálva. 
Ezért a gyakorlatban elterjedten használt iteratív hash függvények mind dedikált 
hash függvények, melyeket kifejezetten hash függvénynek terveztek. A két leg- 
elterjedtebben használt dedikált iteratív hash függvény az MD5 és a SHA-1 nevet 
viseli. Az MD5 128 bites, a SHA-1 pedig 160 bites hash értéket generál. A beme- 
neti üzenetet mindkét hash függvény 512 bites blokkokban dolgozza fel. 


Üzenethitelesítő kódok 


Az üzenethitelesítést és integritásvédelmet leggyakrabban üzenethitelesítő kó- 
dok (Message Authentication Code — MAC) alkalmazásával valósítjuk meg. Egy 
üzenethitelesítő kódra gondolhatunk úgy, mint egy kriptográfiai ellenőrzőösszegre, 
amelyet a küldő az üzenet elküldése előtt kiszámít és az üzenethez csatol. A csator- 
nán átvitelre kerül az üzenet és az üzenet ellenőrző összege is. A vevő mindkettőt 
veszi, majd ellenőrzi az ellenőrző összeget. Ha az ellenőrzés sikerrel jár, akkor 
a vevő meg lehet győződve arról, hogy az üzenet sértetlen és valóban a vélt (pl. 
az üzenetben megjelölt) feladó küldte. Ellenkező esetben, az üzenet integritása az 
átvitel során megsérült, és mivel ez lehet rosszindulatú módosítás következménye 
is, ezért a vevő nem fogadja el az üzenetet. 

Formáját és funkcióját tekintve tehát egy üzenethitelesítő kód egy hibadetek- 
táló kódhoz (pl. CRC) hasonlítható. Van azonban egy nagyon fontos különbség 
az üzenethitelesítő és a hibadetektáló kódok között. Nevezetesen az, hogy a hiba- 
detektáló kódok csak a zajos csatornán bekövetkezett véletlen hibák detektálására 
alkalmasak, és nem képesek egy rosszindulatú támadó által végrehajtott szándékos 
módosítások detektálására. Ez egyszerűen azért van, mert a támadó az üzenet mó- 
dosítása után a módosított üzenethez ki tudja számolni az új hibadetektáló kódot. 
A vevő tehát a módosított üzenetet és a hozzá tartozó helyes hibadetektáló kódot 
kapja meg és így nem veszi észre a módosítást. 
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Ezzel szemben az üzenethitelesítő kódok nemcsak a véletlen hibákat, hanem a 
rosszindulatú módosításokat is képesek detektálni. Ezen képességük abból adódik, 
hogy a hibadetektáló kóddal ellentétben, az üzenethitelesítő kód értéke nemcsak 
magától az üzenettől függ, hanem egy a küldő és a vevő által megosztott titkos in- 
formációtól, egy kulcstól is. A támadó ezen titok hiányában nem tudja kiszámítani 
a módosított üzenethez tartozó helyes üzenethitelesítő kódot, és így a módosítás 
nem maradhat észrevétlen. Ezen túlmenően a vevő tudja, hogy helyes üzenethi- 
telesítő kód kiszámítására csak a küldő (és természetesen maga a vevő) alkalmas. 
Ezért meg lehet győződve arról, hogy minden helyes üzenethitelesítő kóddal vett 
(és nem saját magától származó) üzenet csakis a küldőtől származhat. 

A fenti gondolatok az üzenethitelesítés következő modelljéhez vezetnek: Az A 
küldő és a B vevő rendelkezik egy közös K4g kulccsal. K4p-t rajtuk kívül más nem 
ismeri. Az m üzenet elküldése előtt A kiszámolja az m-hez tartozó u — MACkg. (m) 
üzenethitelesítő kódot, ahol MACg., a KaB kulccsal paraméterezett üzenethitele- 
sítő függvény. A továbbiakban a u üzenethitelesítő kódot röviden MAC értéknek, 
a MACk. üzenethitelesítő függvényt pedig röviden MAC függvénynek fogjuk ne- 
vezni. A elküldi, B pedig megkapja a MAC értékkel kiegészített mlu üzenetet. KAB 
ismeretében B kiszámolja MACk,, (m)-et, és az eredményt összehasonlítja u-vel. 
Egyenlőség esetén B elfogadja az üzenetet, ellenkező esetben eldobja azt. 

A MAC fügvénnyel szemben az alábbi követelményeket támasztjuk: 


a) A MACk függvény olyan szűkítő transzformáció legyen, mely tetszőleges hosz- 
szúságú üzeneteket fix hosszúságú, n bites MAC értékbe képez. 


b) A K kulcs ismeretében tetszőleges m üzenethez könnyű legyen kiszámolni 
MACk(m)-et. 


c) A K kulcs ismeretének hiányában viszont legyen MACk(m) kiszámítása nehéz 
feladat, még akkor is, ha nagy számú (m;, MACk(m;)) pár áll rendelkezésre, 
ahol természetesen m £ fm;). 


d) A K kulcs meghatározása legyen nehéz feladat még nagy számú (m;, MACk (m;) ) 
pár ismerete esetén IS. 

Megjegyezzük, hogy ha egy MAC függvény eleget tesz a 3) követelménynek, 
akkor kielégíti a 4) követelményt is. Ha ugyanis a 4) követelményt nem elégí- 
tené ki, akkor egy támadó meg tudná határozni a K kulcsot és annak ismeretében 
tetszőleges üzenethez tudna MAC értéket generálni, azaz a MAC függvény nem 
elégíthetné ki a 3) követelményt sem. Fordítva azonban nem áll fenn az impli- 
káció, ugyanis elméletileg elképzelhető, hogy a K kulcs ismerete nem szükséges 
ahhoz, hogy egy üzenethez helyes MAC értéket generáljon a támadó. 


A CBC-MAC 


A CBC-MAC függvény működésének gyors megértéséhez képzeljük el, hogy az 
üzenetet CBC módban rejtjelezzük egy blokkrejtjelezővel, azzal a módosítással, 
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hogy a rejtjeles blokkokat az utolsó kivételével mind eldobjuk. A MAC függvény 
kimenete az utolsó rejtjeles blokk lesz. 

Formálisan, a CBC-MAC működését a következőképpen írhatjuk le: Adott 
egy m üzenet és egy K kulcs, ahol K mérete megegyezik a használni kívánt blokk- 
rejtjelező kulcsméretével. Az m üzenetet először kitöltjük, hogy mérete a blokk- 
rejtjelező n blokkméretének többszöröse legyen. Mivel magát az m-et is el fog- 
juk küldeni a vevőnek, ezért a kitöltés lehet nagyon egyszerű, például az üzenet 
megfelelő számú 0 bittel történő kiegészítése. Jelöljük a kiegészített üzenetet X- 
szel. X-et n bites blokkokra osztjuk, melyeket X/ , X- , . . . , Xw-nel jelölünk. Legyen 
IV — 0 (azaz a csupa 0 bitből álló blokk). A CBC mód működését definiáló (3.17) 
és (3.18) kifejezések, valamint a megadott IV és K felhasználásával számítsuk ki 
az utolsó rejtjeles blokkot, Cw-t. Ez lesz a CBC-MAC függvény kimenete, azaz 
MACk(m) — Cw. Ha rendelkezésre áll egy K" A K másik kulcs is, akkor a MAC 
függvény kimenetére opcionálisan nem Cyw-et vezetjük, hanem Exk(Dxg(Cwn))-et, 
ahol E jelöli a blokkrejtjelező kódolót, D pedig a dekódoló függvényét. 

Tekintsük most át a MAC függvénnyel szemben támasztott követelmények lis- 
táját. A CBC-MAC függvény tetszőleges méretű üzenethez egy n bites MAC ér- 
téket generál, ahol n az alkalmazott blokkrejtjelező blokkmérete. A K kulcs is- 
meretében a MAC számítása egyszerű, a CBC kódolással megegyező módon tör- 
ténik. A K kulcs meghatározása megfigyelt üzenet — MAC párokból lényegében 
a blokkrejtjelező feltörését jelenti, tehát megfelelő erősségű blokkrejtjelező esetén 
ez biztosan nehéz feladat. Hasonlóképpen nehéznek tűnik a MAC meghatározása 
egy adott üzenethez, ha a kulcs nem ismert. 


Hash függvényre épülő MAC függvények 


A legegyszerűbben úgy kovácsolhatunk egy hash függvényből MAC függvényt, 
hogy a kulcsot hozzáfűzzük az üzenethez, majd a kulccsal megtoldott üzenetnek 
kiszámítjuk a hash értékét és az eredményt tekintjük az eredeti üzenet MAC érté- 
kének. Attól függően, hogy a kulcsot az üzenet elé vagy mögé fűzzük, alapvetően 
két módszert különböztethetünk meg, melyeket titok prefix és titok szuffix mód- 
szereknek hívunk. 


Titok prefix módszer. Nevéből adódóan a titok prefix módszer az üzenet elé fűzi 
a kulcsot. Az m üzenet MAC értékét tehát a következő módon számoljuk: 


MACx(m) — h(KIm) (3.28) 


ahol A jelöli a hash függvényt, melyre a MAC konstrukció épül. 

Az így nyert MAC függvény h tulajdonságaiból adódóan szűkítő transzformá- 
ció és a teljes input ismeretében (azaz a K kulcsot is ismerve) a MAC érték könnyen 
számolható. A hash függvény egyirányúsága miatt abban reménykedünk, hogy egy 
adott MAC érték ismeretében a K kulcs megfejtése nehéz feladat. Vegyük azonban 
észre, hogy a hash függvény egyirányúsága azt jelenti, hogy egy adott MAC érték 


Kódolástechnika - 2006 - crysys web változat - 6. 





3.3. HITELESÍTÉSI FELADATOK 123 
K m 
——,—— 





























- 
ses [EZ 


u - MAGg(mlm) 





3.17. ábra. A titok prefix módszer elleni támadás. 


ismeretében a teljes input (kulcs és üzenet) megfejtése nehéz feladat. A mi ese- 
tünkben azonban az input egy része, az üzenet ismert. Kérdéses tehát, hogy ez a 
konstrukció milyen garanciát biztosít a kulcs megfejtése ellen. További probléma, 
hogy ha h egy iteratív hash függvény, akkor a támadó egy m üzenet u MAC ér- 
tékének ismeretében bármely mlm! üzenet 1 MAC értékét ki tudja számolni mint 
u" — hu(m"), ahol h, ugyanaz a hash függvény mint h, csak a kezdeti láncváltozó- 
jának értéke u. Ezt a 3.17. ábra szemlélteti. 


Titok szuffix módszer. Egy másik lehetőség hash függvény alapú MAC függ- 
vény konstruálására a titok szuffix módszer. Ekkor a kulcsot az üzenet mögé fűz- 
zük, majd a kulccsal így kiegészített üzenetnek kiszámoljuk a hash értékét és az 
eredményt tekintjük az üzenet MAC értékének: 


MACKxk(m) — h(mIK) (8.29) 


A titok szuffix módszer tulajdonságai hasonlítanak a titok prefix módszer tulaj- 
donságaihoz azzal a különbséggel, hogy a titok prefix módszernél említett támadás 
ebben az esetben nem kivitelezhető. A módszer egy gyengesége, hogy ha h egy 
iteratív hash függvény, akkor a kulcsot csak a MAC érték kiszámításának utolsó 
lépésében használjuk fel. Ez problémához vezethet, ha a hash függvény nem ütkö- 
zésmentes (pl. az alkalmazás jellegéből adódóan a MAC érték hosszára vonatko- 
zóan korlátozásaink vannak). Tegyük fel ugyanis, hogy a támadó (a születésnapi 
paradoxont használva) talált egy m és egy m" üzenetet, melyekre h(m) — h(m"). 
Könnyen látszik, hogy ekkor MACx(m) — h(mIK) — hím" IK) — MACk(m!), hi- 
szen m és m! feldolgozása után a hash függvény belső láncváltozójának értéke a 
két esetben megegyezik. Más szóval, ha a támadó megszerzi az egyik üzenet MAC 
értékét, akkor azt fel tudja használni a másik üzenet MAC értékeként is. 


HMAC. A HMAC a gyakorlatban igen elterjedten használt, hash függvényre 
épülő MAC függvény. A HMAC függvényt a következő kifejezés definiálja: 


MACk(m) — h(K" eopad I h(K" eipadIm)) (3.30) 


ahol 
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e hegy iteratív hash függvény, ami az üzenetet B bájtos blokkokban dolgozza 
fel, 


e ipad (inner pad) egy B bájt hosszú konstans blokk, melyben minden bájt 
értéke 36, 


e opad (outer pad) egy B bájt hosszú konstans blokk, melyben minden bájt 
értéke 5C, és 


e KT aK kulcs csupa 0 bittel kiegészítve, hogy hossza elérje a B bájtot. 


A K kulcs tetszőleges hosszúságú lehet. B értéke tipikusan 64, így X általában 
rövidebb, mint B bájt. Ha mégis hosszabb lenne, akkor először kiszámoljuk A(K)-t 
és ezt használjuk kulcsként. A HMAC által definiált MAC érték mérete az alkal- 
mazott h hash függvény kimenetének méretétől függ. Ha például h az MD5 hash 
függvény (HMAC-MD5), akkor a kiszámított MAC mérete 128 bit (16 bájt), míg 
a SHA-1 hash függvény használata esetén (HMAC-SHA1) a MAC mérete 160 bit 
(20 bájt). 


Digitális aláírás 

Az előzőekben tárgyalt üzenethitelesítő kódok hasznos szolgáltatásokat nyújta- 
nak: lehetővé teszik a csatornán átküldött üzenetek (véletlen és szándékos) módo- 
sításának detektálását és az üzenetek küldőjének hitelesítését. Az üzenethitelesítő 
kódok hátránya azonban az, hogy ezeket a szolgáltatásokat csak a vevő számára 
biztosítják. A vevő egy kívülálló harmadik felet már nem tud meggyőzni arról, 
hogy egy vett üzenet sértetlen és a küldőtől származik. Ez azért van, mert az üze- 
nethitelesítő kód értéke egy olyan titkos kulcstól függ, melyet a vevő is ismer. A 
harmadik fél tehát nem tudja biztosan eldönteni, hogy az adott üzenethitelesítő 
kódot a küldő vagy a vevő generálta. Ez azt jelenti, hogy a küldő bármikor leta- 
gadhatja, hogy egy üzenetet küldött a vevőnek, és a vevő nem tudja bebizonyítani, 
hogy a küldő hazudik. Más szóval, az üzenethitelesítő kódok nem biztosítanak 
letagadhatatlanság szolgáltatást. 

A letagadhatatlanság szolgáltatás megvalósítására olyan aszimmetrikus mecha- 
nizmusra van szükség, melynek segítségével csakis az üzenet küldője állíthatja elő 
az üzenet eredetére vonatkozó bizonyítékot (így azt hamisítani nem lehet), de a 
rendszer bármely résztvevője (köztük a vevő is) ellenőrizni tudja azt. Ezt a mecha- 
nizmust digitális aláírásnak nevezzük, mivel tulajdonságai nagy mértékben hason- 
lítanak a hagyományos aláírás tulajdonságaihoz. Egy fontos különbség a digitális 
és a hagyományos aláírás között az, hogy a digitális aláírás nem az üzenet anyagi 
hordozójához (pl. papír) kötődik, hanem magához az üzenethez. Így nemcsak az 
üzenet eredetére vonatkozóan nyújt garanciát, hanem segítségével az üzenet tartal- 
mában az aláírás generálása után bekövetkezett módosításokat is detektálni lehet. 
Összefoglalva tehát a digitális aláírás egy olyan mechanizmus, mely biztosítja az 
üzenetek integritását és hitelességét, valamint az üzenetek eredetének letagadhatat- 
lanságát. 
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A digitális aláírás fent említett aszimmetrikus tulajdonsága miatt, a jól ismert 
digitális aláírás sémák mind nyilvános kulcsú kriptográfiára épülnek. Egy digitális 
aláírás séma két komponensből áll: egy S aláírás-generáló algoritmusból és egy V 
aláírás-ellenőrző algoritmusból. Az aláírás-generáló algoritmus az aláíró fél privát 
kulcsával van paraméterezve, míg az ellenőrző algoritmus az aláíró fél nyilvános 
kulcsát használja paraméterként. Jelölésben ezt úgy érzékeltetjük, hogy az aláíró 
fél azonosítóját alsó indexbe írjuk, azaz az A privát kulcsával paraméterezett aláíró 
algoritmust S4-val, az A nyilvános kulcsával paraméterezett ellenőrző algoritmust 
pedig V4-val jelöljük. Az SA algoritmus bemenete az aláírni kívánt m üzenet, ki- 
menete pedig a 6 — S4(m) digitális aláírás. A V4 ellenőrző algoritmus bemenete 
egy m üzenet és egy 6 aláírás, kimenete pedig true ha 6 A érvényes aláírása m-en, 
és false egyébként: 
true ha c — S4(m) 


false egyébként ls 


VA (m,6 ) 7 ( 
Értelemszerűen, az ellenőrzést végző fél akkor fogadja el az aláírást hitelesnek, ha 
az ellenőrző algoritmus kimenete true. 

Természetesen az ellenőrzés végrehajtásához az ellenőrző félnek ismenie kell 
az aláíró fél nyilvános kulcsát, mert ez szükséges az ellenőrző algoritmus helyes 
paraméterezéséhez (azaz VA használatához). Az aláíró fél hiteles nyilvános kulcsá- 
nak megszerzése külön feladat, amit a gyakorlatban legtöbbször valamilyen nyil- 
vános kulcs infrastruktúra (Public Key Infrastructure — PKD segítségével oldanak 
meg. Ezekkel a kérdésekkel később foglalkozunk részletesebben. 

Tekintsünk egy nyilvános kulcsú rejtjelező rendszert. Az A résztvevő kódoló 
transzformációját (melyet A nyilvános kulcsa határoz meg) jelöljük E4-val, az eh- 
hez tartozó dekódoló transzformációt (melyet A privát kulcsa határoz meg) pedig 
DA4-val. Ha minden m üzenetre teljesül az Ex(DA(m)) — m egyenlőség, akkor az 
adott nyilvános kulcsú rendszerből a következőképpen készíthetünk digitális alá- 
írás sémát. Az aláírás-generáló S4 algoritmus legyen a titkosító rendszer DA dekó- 
doló transzformációja (Sa(m) — DA(m)), az aláírás-ellenőrző VA algoritmust pedig 
definiálja a következő kifejezés: 


Va (m,6) — ( 


Más szavakkal, az aláírást úgy generáljuk, hogy az m üzeneten a titkosító rend- 
szer dekódoló transzformációját alkalmazzuk, az aláírást pedig úgy ellenőrizzük, 
hogy a 6 aláíráson a kódoló transzformációt alkalmazzuk, és az eredményt össze- 
hasonlítjuk az eredeti m üzenettel. Ha az aláírás hiteles, azaz 6 — D4(m), akkor 
a titkosító rendszer fenti tulajdonsága miatt E4(c) — m egyenlőségnek teljesülnie 
kell. 

Hangsúlyozzuk, hogy a fenti digitális aláírás konstrukció csak abban az esetben 
működik, ha a nyilvános kulcsú titkosító rendszer rendelkezik azzal a tulajdonság- 
gal, hogy E4(DA(m)) — m minden m-re teljesül. Ilyen például az RSA rendszer, 
melyre Ex (DA (m)) — (m9)" mod n — (m")" mod n — DA(Ex(m)) — m. Ez azonban 
nem minden nyilvános kulcsú titkosító rendszernél van így. 


true ha E4(6)—m 


false egyébként (3.32) 
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Lenyomat aláírása 


A fent bevezetett digitális aláírás séma hátránya, hogy az aláírás mérete függ az 
üzenet méretétől. Gyakorlati okokból azonban célszerű ezt a függést megszün- 
tetni. Ezt úgy tehetjük meg, hogy egy alkalmas nyilvános ütközésellenálló hash 
függvény felhasználásával, nem az eredeti üzeneten, hanem annak hash értékén 
alkalmazzuk az aláírás-generáló algoritmust. Ekkor az aláírt üzenet m [ S4(h(m) ) 
alakú lesz. A hash érték aláírása azért előnyös mert így az aláírás-generálásának 
ideje lényegében függetlenné válik az üzenet méretétőlő. Ez azt jelenti, hogy nagy 
méretű üzeneteket is hatékonyan tudunk aláírni. 

Ügyelnünk kell azonban arra, hogy ha egy támadó megfigyel egy m I SA (h(m)) 
aláírt üzenetet, és talál egy olyan m" üzenetet melyre h(m!) — h(m), akkor az 
SA (h(m)) aláírást felhasználhatja az m!" üzenet hiteles aláírásaként, hiszen ekkor 
nyilván SA(h(m)) — S4(h(m)) is teljesül. Csakhogy ha h ütközésellenálló hash 
függvény, akkor a támadó gyakorlatilag nem találhat azonos hash értékre vezető 
m" üzenetet. Megjegyezzük, hogy a gyakorlatban, a támadó feladatát tovább nehe- 
zíti, hogy nemcsak a h(m" ) — h(m) egyenlőségnek kell teljesülnie, hanem m-nek 
értelmes, a támadó céljainak megfelelő csaló tartalmú üzenetnek kell lennie. 


Nyilvános kulcs hitelesítés 


Aszimmetrikus kulcsú rejtjelezés vagy digitális aláírás használata esetén szük- 
séges, hogy a kommunikáló felek ismerjék egymás hiteles nyilvános kulcsát. Most 
azt vizsgáljuk, hogy hogyan lehet a hiteles nyilvános kulcsokhoz hozzájutni. Ve- 
gyük észre, hogy ha A szeretné megszerzni B nyilvános kulcsát, Kg-t, akkor nem 
jó megoldás az, ha B mindenféle védelem nélkül elküldi Kg-t A-nak. Igaz ugyan, 
hogy K; nem titkos, ezért egy hallgatózó támadótól nem kell tartani. Azonban ha 
az X támadó aktív támadást is képes végrehajtani, akkor K-t az átvitel során saját 
nyilvános kulcsával, Ky-szel helyettesítheti. Ekkor A B-nek szánt üzeneteit Kg- 
szel fogja rejtjelezni, és így azokat X dekódolni tudja. Sőt, a dekódolt üzeneteket 
Kzp-vel rejtjelezve és továbbítva B felé, X a támadást észrevétlenül tudja végrehaj- 
tani. Ezért nagyon fontos, hogy A meg tudjon győződni a kulcs hitelességéről, azaz 
arról, hogy a kulcs amit B nyilvános kulcsának hisz, valóban B nyilvános kulcsa. 

Ezen probléma megoldására a gyakorlatban a nyilvános kulcs tanúsítványok 
használata terjedt el. A nyilvános kulcs tanúsítvány egy adatstruktúra, mely mini- 
málisan a következő adatokat tartalmazza: 


e a nyilvános kulcsot, 


e a nyilvános kulcs tulajdonosának azonosítóját, és 


2 


e egy aláírást, mely az előző két mezőt elválaszthatatlanul összeköti. 


6Az üzenet hash értékének kiszámítása továbbra is függ az üzenet méretétől, de a hash számí- 
tása még így is több nagyságrenddel gyorsabb, mint az aláírás generálása, ezért az aláírás-generáló 
algoritmus futási ideje dominál. 
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Az aláírást általában egy megbízható fél, a hitelesítés szolgáltató (Certification 
Authority — CA) generálja, aki kompetens annak meghatározásában, hogy a tanú- 
sítvány által tartalmazott kulcs és azonosító valóban összetartoznak-e. A tanúsít- 
vány lényegében ezen megbízható fél állítása, miszerint az adott kulcs az adott tu- 
lajdonoshoz tartozik. Kibocsájtása után a tanúsítvány bekerül egy nyilvános adat- 
bázisba, ahonnan igény szerint letölthető. 

A gyakorlatban a tanúsítvány további adatokat is tartalmaz, mint például a ta- 
núsítvány aláírójának az azonosítóját, a kibocsájtás dátumát, a tanúsítvány érvé- 
nyességi idejét, és a tanúsítvány használatára vonatkozó információt. 

A legegyszerűbb esetben a rendszerben csak egy hitelesítés szolgáltató van, 
és az bocsájtja ki minden felhasználó tanúsítványát. Ekkor minden felhasználó 
minden tanúsítványt ellenőrizni tud, feltéve hogy ismeri a hitelesítés szolgáltató 
nyilvános kulcsát. Ehhez tipikusan akkor juthat hozzá biztonságosan mikor a sa- 
ját tanúsítványát igényli a hitelesítés szolgáltatónál, és személyazonosságának iga- 
zolása érdekében személyesen megjelenik. Az egyetlen hitelesítés szolgáltatóra 
épülő rendszer hátránya, hogy nem skálázható, azaz a felhasználók számának nö- 
vekedésével a rendszer használata egyre nehézkesebbé válik, a megbízható műkö- 
dés esetleg nem is garantálható. 

Nagy rendszerekben több hitelesítés szolgáltató található, melyek valamilyen 
struktúra szerint szerveződnek. A skálázhatósággal kapcsolatos problémák megol- 
dására általában célszerű a hitelesítés szolgáltatókat hierarchiába szervezni. Tiszta 
hierarchia esetén a hierarchia csúcsán egyetlen szolgáltató áll, amit gyökér szol- 
gáltatónak (root CA) hívunk. Ez alatt helyezkednek el az első szintű szolgáltatók, 
majd alattuk a második szintűek, és így tovább. Tipikusan minden szolgáltató a 
közvetlenül alatta elhelyezkedő szolgáltatók számára bocsájt ki tanúsítványokat, 
azaz minden alatta elhelyezkedő szolgáltató azonosítóját és nyilvános kulcsát alá- 
írja. A felhasználók tanúsítványát a legalsó szinten elhelyezkedő szolgáltatók bo- 
csájtják ki. Ezt a fajta szerveződést a 3.18. ábra szemlélteti. 

Csakúgy mint az egyetlen hitelesítés szolgáltatót tartalmazó rendszerben, itt is 
feltesszük, hogy minden felhasználó ismeri a gyökér szolgáltató hiteles nyilvános 
kulcsát. Ez azonban még nem elég egy adott felhasználó tanúsítványának ellen- 
őrzéséhez, hiszen a felhasználók tanúsítványait nem a gyökér szolgáltató írja alá. 
Amire szükség van az egy tanúsítvány-lánc, mely a következő tulajdonságokkal 
rendelkezik: 


e A lánc első eleme egy olyan tanúsítvány, amit a gyökér szolgáltató adott ki, 
és így a benne található nyilvános kulcs hitelessége bárki által ellenőrizhető. 


e A lánc minden további tanúsítványára igaz, hogy ellenőrizhető a láncban őt 


2 


közvetlenül megelőző tanúsítványban található nyilvános kulccsal. 
e A lánc utolsó tanúsítványa tartalmazza a kérdéses, hitelesíteni kívánt fel- 


használói nyilvános kulcsot. 


Könnyen látható, hogy egy ilyen tanúsítvány-lánc birtokában és a gyökér szolgál- 
tató nyilvános kulcsának ismeretében bármely felhasználó bármely másik felhasz- 
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gyökér hitelesítés 
ei kulcsa 


kiadott tanúsítván 


A 


000...000.. 000..000... 


felhasználók kulcsai 


3.18. ábra. Hitelesítés szolgáltatók tiszta hierarchikus szerveződésének illusztrá- 
ciója. Minden nyíl egy kibocsájtott tanúsítványt reprezentál, ahol a nyíl iránya a 
kibocsájtás irányára utal. 


náló tanúsítványát ellenőrizni tudja. Ehhez a lánc tanúsítványait kell sorrendben 
ellenőrizni. 

Fontos megjegyezni, hogy tanúsítvány-láncok használata esetén, a lánc min- 
den egyes tanúsítványának kibocsájtójában meg kell bíznunk. Ha egy hitelesítés 
szolgáltató nem feltétlenül megbízható, akkor a lánc ellenőrzése az ezen szolgál- 
tató által kibocsájtott tanúsítványnál megakad, hiszen az abban található nyilvános 
kulcs hitelességében nem lehetünk biztosak. 

Előfordulhat, hogy egy tanúsítványt még a lejárati dátuma előtt vissza kell 
vonni. Ennek tipikus oka az lehet, hogy a tanúsítványban tárolt adatok megvál- 
toztak vagy a tanúsítvány által hitelesített nyilvános kulcshoz tartozó privát kulcs 
kompromittálódott (azaz azt a jogos tulajdonosán kívül valaki más is megszerez- 
hette). A visszavonás úgy történik, hogy a hitelesítés szolgálatató a tanúsítványt 
(annak azonosítóját) elhelyezi a tanúsítvány visszavonási listán (Certificate Re- 
vocation List — CRL). Ez egy rendszeres időközönként (pl. naponta) frissített, nyil- 
vános lista, amit a szolgáltató aláírásával hitelesít. 

Vizsgáljuk meg ezek után, hogy hogyan történik egy egyszerű digitális aláírás 
ellenőrzése. Először is meg kell szerezni az aláírás ellenőrzéséhez szükséges nyil- 
vános kulcsot tartalmazó tanúsítványt, illetve a gyökér hitelesítő kulcsától az adott 
tanúsítványig vezető tanúsítvány-láncot. Minden így megszerzett tanúsítványt le 
kell ellenőrizni, ami egyrészt abból áll, hogy ellenőrizzük a tanúsítványban talál- 
ható digitális aláírást, másrészt ellenőrizzük, hogy a tanúsítvány nincs-e vissza- 
vonva. Utóbbi ellenőrzéshez meg kell szerezni a tanúsítvány kibocsájtójának leg- 
frissebb tanúsítvány visszavonási listáját, ellenőrizni kell annak aláírását, és meg 
kell győződni arról, hogy a kérdéses tanúsítvány nem szerepel a listán. Mivel eze- 
ket az ellenőrzéseket a tanúsítvány-lánc minden elemére végre kell hajtani, ezért a 
digitális aláírás ellenőrzése nagy komplexitású feladat, s az is látható, hogy komoly 
infrastruktúrát igényel. 
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Partnerhitelesítés 


2 4 


A partnerhitelesítő protokollok feladata, hogy lehetővé tegyék a kommunikáló 
felek számára egymás identitásának megbízható ellenőrzését. A megbízható jelző 
itt arra utal, hogy a felek valamilyen módon bebizonyítják állított identitásukat. Az 
identitás bizonyítása többféle módszerrel is történhet, melyek alapvetően három 
osztályba sorolhatók: 


e Biometriai módszerek: Ezen módszerek elsősorban személyek identitásá- 
nak bizonyítására használatosak. A bizonyítás alapját valamilyen személyes 
biológiai jellemző (pl. hang, ujjlenyomat, írisz mintázat, stb.) képezi. 


e Hardver alapú módszerek: Ezen módszereknél a bizonyítás alapja valami- 
lyen hardver token (badge, chip-kártya, stb.) birtoklása. 


e Algoritmikus módszerek: Ezeknél a módszereknél a bizonyítás alapja va- 
lamilyen számítás elvégzésének képessége. 
Az algoritmikus partnerhitelesítési módszerek maguk is többfélék lehetnek. Ti- 


pikus példák a következők: 


e Jelszavak: Egy gyakran használt algoritmikus módszer valamilyen titok is- 
meretének bizonyítása magának a titoknak a felfedésével. Ezt jelszó alapú 
partnerhitelesítésnek nevezzük. 


Kriptográfiai kihívás-válasz protokollok: Ha a felek képesek bonyolul- 
tabb számítások elvégzésére, akkor kriptográfiai alapú módszereket is hasz- 
nálhatnak. Ebben az esetben egy titkos kulcs használata (pl. egy véletlen 
kihívás digitális aláírása) képezi az identitás bizonyításának alapját, azzal a 
feltételezéssel, hogy a titkos kulcs valamilyen módon a bizonyítást végző 
félhez kötődik. 


Zero-knowledge (ZK) protokollok: Léteznek olyan kriptográfiai techni- 
kák, melyek garantálják, hogy az identitás bizonyítása során, a bizonyítás 
alapját képező titokról semmilyen információ nem szivárog ki azon kívül, 
hogy a bizonyítást végző fél ismeri a titkot. Ezeket zero-knowledge proto- 
kolloknak nevezzük. 


Az alábbiakban kizárólag a kriptográfiai kihívás—válasz protokollokkal foglalko- 
zunk. 

Egy kihívás-válasz protokollban A úgy hitelesíti magát B felé, hogy bebizo- 
nyítja, birtokában van egy olyan kriptográfiai kulcsnak, amely valamilyen módon 
A-hoz van rendelve (azaz B tudja, hogy csak A ismerheti). A bizonyításhoz A 
használja a kulcsot, azaz rejtjelez, dekódol, vagy aláír valamit. A visszajátszásos 
támadások megakadályozása érdekében, A egy B által frissen generált elemen (ki- 
híváson) alkalmazza a kulcsot, így A válasza nemcsak a kulcstól függ, hanem a 
kihívástól is. 

Tekintsük a következő, építőelemként szolgáló protokoll-részleteket: 
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Partnerhitelesítés szimmetrikus kulcsú rejtjelezéssel: 


(D B—-A: Np 
(2) A— B: Ex(Ns) 


B generál egy N; friss véletlenszámot, és nyíltan elküldi azt A-nak. A a Kap 
kulccsal rejtjelezi Ng-t, ahol Kag egy csak A és B számára ismert szimmetri- 
kus kulcs. B dekódolja A válaszát, és ha visszakapta a korábban elküldött NB 
számot, akkor A hitelesítette magát. A hitelesítés alapja, hogy (B-n kívül) 
csak A tud rejtjelezni K4z-vel. 


Partnerhitelesítés szimmetrikus kulcsú dekódolással: 


(4) B-OA: Ex,(MB) 
(2) A — B: NB 


B generál egy N; friss véletlenszámot, rejtjelezi azt a Kag kulccsal, ahol Kap 
egy csak A és B számára ismert szimmetrikus kulcs, és az eredményt elküldi 
A-nak. A dekódolja B üzenetét, majd visszaküldi a dekódolás eredményét 
B-nek. B ellenőrzi A válaszát, és ha az megegyezik az Ng számmal, akkor A 
hitelesítette magát. A hitelesítés alapja, hogy (B-n kívül) csak A tud dekó- 
dolni K4p-vel. 


Partnerhitelesítés digitális aláírással: 


(1) B-6A: Np 
(2) A — B: SA(Np) 


B generál egy N; friss véletlenszámot, és nyíltan elküldi azt A-nak. A digi- 
tálisan aláírja Ng-t. B ellenőrzi A aláírását, és ha az aláírás hiteles, akkor A 
hitelesítette magát. A hitelesítés alapja, hogy csak A tud érvényes digitális 
aláírást generálni A nevében Nz-n. 


Partnerhitelesítés nyilvános kulcsú rejtjelezéssel: 


(1) B — A: EA(Nz) 
(2) A — B: NB 


B generál egy N; friss véletlenszámot, rejtjelezi azt A nyilvános kulcsával, 
és az eredményt elküldi A-nak. A dekódolja B üzenetét saját privát kulcsával, 
majd visszaküldi a dekódolás eredményét B-nek. B ellenőrzi A válaszát, és 
ha az megegyezik az Ng számmal, akkor A hitelesítette magát. A hitelesítés 
alapja, hogy csak A tud dekódolni A privát kulcsával. 
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Az alkalmazás jellegétől függ, hogy a fenti építőelemeket hogyan lehet fel- 
használni a gyakorlatban. Ha csak egyirányú partnerhitelesítésre van szükség, ak- 
kor a fenti protokollok önmagukban is megállják a helyüket. Ezzel ellentétben, 
egy olyan alkalmazásban, ahol kölcsönös partnerhitelesítésre van szükség a fenti 
protokollokat esetleg további elemekkel kell kiegészíteni és körültekintően kell 
kombinálni. Példaként próbáljunk meg a fenti, szimmetrikus kulcsú rejtjelezésre 
épülő egyirányú protokoll-részletből kölcsönös partnerhitelesítést végző protokollt 
konstruálni. Naivan úgy gondolhatnánk, hogy a protokollrészletet mindkét irányba 
lejátszva a feladatot megoldottuk: 


d) A — B: NA 
(2) B — A: Ek (NA) ] Np 
68) AG B: Exk(Nb) 


Vegyük észre azonban, hogy a fenti protokoll hibás. Egy támadó A üzeneteit 
visszajátszva, meg tudja személyesíteni B-t A felé. A támadás menete a következő: 


A c XB: NA 

XB c A: NA 

A XB: Ekag (NA) N4 
XB o A: Ex.z(NA) ] Nzx 
A C Xg: Ex4(Nx) 


A fenti támadásban az Xg támadó rejtjelező orákulumként használja A-t. Ezt 
úgy éri el, hogy visszajátsza A N4 kihívását A-nak B nevében. Ekkor A előállítja 
Ex.(NA)-t. X-nek pontosan erre van szüksége az első protokoll példány befejezé- 
séhez. Hasonló módon A is megszemélyesíthető B felé. 

A protokollt a következő módon javíthatjuk ki: 


(1) A — B: NA 
(2) B — A: Ex (A 1N4)I NB 
6) AG B: Ex4(BINp) 


A javítás lényege, hogy a rejtjelezett üzenetekben jelöljük, hogy azok kinek 
szólnak. Így A üzenete nem játszható vissza B nevében, s a fenti támadás nem 
működik. 


3.4.  Kulcscsere protokollok 


Szimmetrikus kulcsú rejtjelezés vagy üzenethitelesítő kódok használata esetén szük- 
séges, hogy a kommunikáló felek rendelkezzenek egy titkos kulccsal, amit rajtuk 
kívül más nem ismer. Ebben a szakaszban azt vizsgáljuk, hogyan lehet ezt a közös 
titkos kulcsot a kommunikáló felek birtokába juttatni. 

A kulcscsere probléma koncepcionálisan legegyszerűbb megoldása az, mikor 
a kommunikáló felek fizikailag (pl. személyesen) találkoznak és megegyeznek egy 
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közös kulcsban. Ez a megoldás — amelyet manuális kulcscserének is hívnak — 
azonban csak korlátozott mértékben használható a gyakorlatban, mert drága és idő- 
igényes, továbbá sokszor az alkalmazás jellegénél fogva egyszerűen nem is hasz- 
nálható. 

A kulcscsere probléma gyakorlatban is jól használható megoldását a kulcscsere 
protokollok jelentik. Egy kulcscsere protokoll lehetővé teszi két (vagy több) fél 
számára egy közös titok létrehozását anélkül, hogy a két fél fizikailag találkozna. 

A kulcscsere protkolloknak alapvetően két fajtája létezik: kulcsszállító és 
kulcsmegegyezés protokollok. Kulcsszállító protokollok esetében a kulcsot a pro- 
tokoll valamelyik résztvevője (az egyik fél vagy egy megbízható harmadik fél) 
generálja, majd azt biztonságosan eljuttatja a többi résztvevőnek. A kulcs értéke 
tehát egy résztvevőtől függ. Ezzel szemben, kulcsmegegyezés protokollok eseté- 
ben a kulcs értékéhez minden résztvevő hozzájárul. A résztvevők az általuk gene- 
rált hozzájárulásokat kicserélik, majd minden résztvevő lokálisan generálja a közös 
kulcsot a másik résztvevőtől kapott hozzájárulást is felhasználva. 

A kulcsmegegyezés protokollok előnye, hogy a kulcs értékét egyik fél sem 
tudja befolyásolni, hiszen az a másik fél hozzájárulásától is függ. Kulcsszállító pro- 
tokollok esetében az a résztvevő, amelyik a kulcsot generálja, szándékosan választ- 
hat egy speciális tulajdonságokkal rendelkező (pl. valamilyen értelemben gyenge) 
kulcsot. A kulcsmegegyezés protokollok hátránya, hogy megvalósításuk általában 
nyilvános kulcsú kriptográfiára épül, így végrehajtásuk nagyobb számítási kapaci- 
tást igényel a résztvevőktől. Ennek ellenére, a fent említett kedvező tulajdonságuk 
miatt, gyakorlati alkalmazásokban gyakran használnak kulcsmegegyezés protokol- 
lokat. 

A kulcscsere protokollok által nyújtott fontosabb szolgáltatások a következők: 


e Implicit kulcshitelesítés: Egy kulcscsere protokoll akkor nyújt implicit 
kulcshitelesítés szolgáltatást valamely A fél számára, ha a protokoll sikeres 
lefutása után A meg lehet győződve arról, hogy rajta kívül csak a feltételezett 
másik fél, mondjuk B, és esetleg egy megbízható harmadik fél (pl. a kulcs- 
szerver) férhet hozzá a protokoll során létrehozott kulcshoz. Ez egy olyan 
alapvető szolgáltatás, amit minden kulcscsere protokolltól elvárunk. Fontos 
megjegyezni azt, hogy implicit kulcshitelesítés esetén A nem feltétlenül biz- 
tos abban, hogy B ismeri a kulcsot. Csupán annyit követelünk meg, hogy A 
biztos legyen abban, hogy csak B-nek (és esetleg egy megbízható harmadik 
félnek) van meg a lehetősége arra, hogy a kulcshoz hozzáférjen. 


Kulcskonfirmáció: Ez az a szolgáltatás, melynek segítségével az egyik 
résztvevő, mondjuk A, meggyőződhet arról, hogy a másik résztvevő, mond- 
juk B, valóban birtokában van a protokoll futása során létrehozott kulcsnak. 
Ezen szolgáltatás megvalósítására több lehetőség is van: B elküldheti pél- 
dául A-nak a kulcs hash értékét, vagy egy, a kulccsal rejtjelezett publikus 
nyílt szöveget. Lenyomat küldése esetén, a hash függvény egyirányúsága 
miatt, egy támadó nem tudja megfejteni a kulcsot a megfigyelt hash érték- 
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ből. Ismert nyílt szöveg rejtjelezése esetén pedig a rejtjelező függvény ismert 
nyílt szövegű támadás elleni ellenállóképessége biztosítja ugyanezt. 


e Explicit kulcshitelesítés: Explicit kulcshitelesítésről akkor beszélünk, ha a 
protokoll egyszerre biztosítja az implicit kulcshitelesítés és a kulcskonfirmá- 
ció szolgáltatásokat ugyanazon fél számára. 


e Kulcsfrissesség: Ha a protokoll kulcsfrissesség szolgáltatást nyújt az A részt- 
vevő számára, akkor a protokoll sikeres futása után A meg van győződve 
arról, hogy a létrehozott kulcs új, és nem egy korábban már használt és fel- 
tehetően azóta feltört kulcs. 


A továbbiakban kulcsszállító és kulcsmegegyezés protokollokra mutatunk példá- 
kat. 


A módosított Otway-Rees-protokoll 


Első példánk az Otway-Rees-protokoll egy módosított változata. A protokoll a 
kulcsszállító protokollok családjába tartozik. Három résztvevője van, akiket A-val, 
B-vel és 5§-sel jelölünk. A és B szeretne a protokoll segítségével egy közös titkos 
kulcsot létrehozni; S egy megbízható kulcsszerver, aki a kulcsot generálja és eljut- 
tatja A-hoz és B-hez. Feltesszük, hogy A és S, illetve B és S már rendelkezik egy 
közös kulccsal, amit K4s-sel, illetve Xgs-sel jelölünk. Ezeket a kulcsokat használja 
a protokoll a frissen generált kulcs védelmére. 


Módosított Otway-Rees protokoll 

(0) A-B: AINA 

(2) BO S: AIBINAI NB 

B) 5-B: Ex(NAlAIBIK)I Exss(NglAlBIK) 
4 B-OA: Ex (NAIAIBIK) 


A protokoll működése a következő: A kezdeményezi a protokoll futtatását az- 
zal, hogy generál egy friss véletlen számot, N4-t, s elküldi azt saját A azonosító- 
jával együtt B-nek. B hasonlóan generál egy friss véletlenszámot, N2-t, és elküldi 
azt N4-val valamint az A és a B azonosítókkal együtt az S szervernek. § generál 
egy friss X kulcsot, majd előállít két rejtjeles üzenetrészt, az egyiket K4s-sel kó- 
dolva A számára, a másikat pedig Kgs-sel kódolva B számára. Mindkét rejtjeles 
üzenetrész tartalmazza a K kulcsot, valamint A és B azonosítóját. Az A-nak szóló 
rész tartalmazza ezen kívül az N4 számot, míg a B-nek szóló rész tartalmazza az 
Nz számot. S mindkét üzenetrészt B-nek küldi el, majd B továbbítja az A-nak szóló 
részt A-nak. Ezután mindkét fél dekódolja a neki szóló részt, és ellenőrzi az azo- 
nosítókat, valamint azt, hogy visszakapta-e a korábban elküldött véletlenszámot. 
Amennyiben az ellenőrzések sikeresek, a felek elfogadják a K kulcsot. 

A protokoll implicit kulcshitelesítést biztosít mindkét fél számára. Ez azért van 
így, mert a felek a K kulcsot rejtjelezve kapják, továbbá megbíznak a szerverben, 
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hogy az csak az üzenetben megjelölt feleknek (azaz A-nak és B-nek) küldte el a 
kulcsot. Nem lehetnek azonban biztosak abban, hogy a másik fél valóban a kulcs 
birtokába jutott, ezért a kulcshitelesítés nem explicit. A kulcsfrissességet az N4 és 
Ny; véletlenszámok megjósolhatatlansága biztosítja. Pontosabban, A tudja, hogy a 
szerver csak azután küldhette üzenetét, hogy megkapta N4-t, hiszen korábban nem 
sejthette NA értékét. Azaz a kulcs nem lehet régebbi, mint N4. Hasonlóképpen, B 
tudja, hogy a kulcs nem régebbi, mint Nk. 


Rejtjelezett kulcs aláírása 
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Az előző protokoll a kulcsfrissességet nem-predikálható véletlenszámok segít- 
ségével biztosította és szimmetrikus kulcsú rejtjelezést használt a kulcs bizalmas 
átvitelére. Most egy olyan kulcsszállító protokollt mutatunk be, amely időpecsétet 
használ a frissesség biztosítására, és nyilvános kulcsú rejtjelezést alkalmaz a bi- 
zalmasság megőrzése érdekében. Megjegyezzük, hogy az időpecsét alkalmazása 
feltételezi, hogy a résztvevők órái szinkronizálva vannak. 


Rejtjelezett kulcs aláírása 
(0) AGB: AJ]EzR(G)I TAI S4(B I Eg(k) I 74) 


A protokollnak két (on-line) résztvevője van, A és B, akik egy kulcsot szeretné- 
nek létrehozni egymás között. Feltételezzük, hogy mindkét fél ismeri a másik fél 
nyilvános kulcsát. A generál egy friss K kulcsot, rejtjelezi azt B nyilvános kulcsá- 
val, majd aláírja a rejtjelezett kulcsot, B azonosítóját, és egy TA időpecsétet. Végül, 
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A elküldi B-nek a rejtjelezett kulcsot, az időpecsétet, és az aláírást. B először ellen- 
őrzi az időpecsétet és az aláírást (utóbbihoz használja A nyilvános kulcsát), majd 
dekódolja a rejtjelezett kulcsot saját privát kulcsával. 

A protokoll mindkét fél számára biztosítja a kulcsfrissességet. Ezen kívül, a 
protokoll mindkét fél számára implicit kulcshitelesítést biztosít. Ugyanis A tudja, 
hogy a rejtjelezett kulcsot csak B tudja dekódolni, de nem tudja biztosan, hogy 
B megkapta-e az üzenetet. B az aláírásból tudja, hogy az üzenetet A küldte, de 
mivel az aláírás csak a rejtjelezett kulcsot tartalmazza, ezért B nem lehet biztos 
abban, hogy A ismeri a kulcs értékét. Lehetséges, hogy A lehallgatott egy protokoll 
példányt, amit valamikor C futtatott B-vel, és szert tett Ep(K)-ra, de nem ismeri K- 
t. A később bármikor aláírhatja Eg(K)-t egy friss időpecséttel együtt. 

A fenti protokollt egyszerűen módosíthatjuk úgy, hogy explicit kulcshitelesítést 


biztosítson B számra: 


Rejtjelezett és aláírt kulcs 
(D ACGB: AITER(K)ITAISA(BIK 174) 


Ebben a protokollban már nyilvánvaló B számára, hogy A a K kulcs birtokában 


ped 4 


van, hiszen az aláírásban szerepel K. Ekkor természetesen feltételezzük, hogy az 
aláírásból a K kulcs nem fejthető meg. Ez praktikusan azt jelenti, hogy a hash-és- 
aláír módszert alkalmazzuk. A protokoll tulajdonságainak vizsgálatát az olvasóra 


bízzuk. 
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A Diffi e-Hellman-protokoll 


A Diffie-Hellman-protokoll egy kulcsmegegyezés protokoll. Két résztvevője 
van, akiket A-val és B-vel jelölünk. A és B szerepe teljesen szimmetrikus. Fel- 
tesszük, hogy mindkét fél számára ismert egy nagy p prímszám, és a Z7 véges cso- 
port egy g primitív eleme (a primitív elem definícióját lásd a 2.3 szakaszban), ahol 
Zp a p által definiált véges multiplikatív csoportot jelöli, azaz az (1,2,....p—1lt 
halmazt a modp szorzással mint művelettel. A generál egy x véletlen számot, 
melyre 1 £ x £ p— 2, majd kiszámolja g7 mod p értékét, és az eredményt elküldi 
B-nek. Hasonlóan, B generál egy y véletlen számot, melyre 1 £ y C p—2, majd ki- 
számolja g" mod p értékét, és az eredményt elküldi A-nak. Ezek után a B-től kapott 
g" mod p értéket és saját titkos x számát felhasználva, A kiszámolja (g7)" mod p 
értékét. B hasonlóan kiszámolja (g7)" mod p értékét. A hatványozás kommutativi- 
tása miatt azonban mindkét fél ugyanazt a k — 997 mod p számot kapja, és ez lesz 
(vagy további számítással ebből kapható) a közös kulcs. 


Diffie-Hellman-protokoll 
(1) A-B: 27" modp 
(2) B-.OA: 9?! modp 
(3a) A: K— (g7) mod p—g9? mod p 
(3b) B: K— (g7) mod p— gy mod p 


A Diffie-Hellman-protokoll biztonsága a Diffie-Hellman-probléma és a diszk- 
rét logaritmus probléma nehézségén alapszik. A Diffie-Hellman-probléma a kö- 
vetkező: adott egy p prím, a Z; csoport egy g generátor eleme, valamint a g7 mod p 
és g7 mod p számok; számoljuk ki g9? mod p értékét. Ehhez szorosan kapcsoló- 
dik a diszkrét logaritmus probléma, mely a következőképpen szól: adott egy p 
prím, a Z) csoport egy g generátor eleme, és egy X € Z; szám; adjuk meg azt 
az x c Zp számot, melyre 97 mod p— X. A két probléma közötti kapcsolatról 
annyit tudunk, hogy ha tudnánk hatékonyan diszkrét logaritmust számolni, akkor a 
Diffie-Hellman-problémára is hatékony megoldást kapnánk: először g7 mod p-ből 
meghatározzuk x-et, majd kiszámítjuk (g7)" mod p értékét. A fordított irány nem 
bizonyított, ezért nem tudjuk, hogy a két probléma ekvivalens-e. Mindenesetre, 
úgy sejtik, hogy mindkét probléma nehéz, abban az értelemben, hogy nem lehet 
polinom időben megoldani őket. A pontos komplexitása azonban egyik problémá- 
nak sem ismert. 

A Diffie-Hellman-protokoll egyszerű és elegáns. Sajnos azonban a protokoll 
nem biztosít kulcshitelesítést, ezért csak passzív támadóval szemben biztonságos. 
Ha az aktív támadás lehetőségét nem lehet kizárni, akkor A és B nem lehetnek 
biztosak abban, hogy egymással hozták létre a közös K kulcsot, mert egy támadó 
kettőjük közé ékelődve (man-in-the-middle), mindkét féllel futtatni tudja a proto- 
kollt. A Diffie-Hellman-protokollt többféleképpen is ki lehet egészíteni kulcshite- 
lesítéssel. A protokoll ezen kiegészített változatai igen széleskörben használtak a 
gyakorlatban (pl. az SSH, az SSL és az IPSec protokollokban). 
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3.5. Alkalmazások 


GSM 


A mobil kommunikációs rendszerek adatbiztonsági tervezés szempontjából spe- 
ciálisak a következő okok miatt: 


e fizikailag hozzáférhető rádiós csatornán is folyik kommunikáció, 
e a mobil készülék általában kis számítási és tárolási kapacitással rendelkezik, 


e a mobil készülék időben változtatja helyét. 


Ennek megfelelően a GSM rendszerben lehetőség van a rádiós csatornán ke- 
resztül zajló kommunikáció rejtjelezésére, valamint a rádiós interfészen keresztül 
elérhető szolgáltatásokhoz (pl. híváskezdeményezés) történő hozzáférés korlátozá- 
sára. A tervezők figyelembe vették a mobil készülékek kis számítási kapacitását 
is, ezért a védelem teljes egészében szimmetrikus kulcsú kriptográfiára épül, ami 
általában nagyságrendekkel kisebb számítási kapacitást igényel, mint a nyilvános 
kulcsú algoritmusok. A mobilitás támogatását úgy oldották meg, hogy az előfize- 
tők idegen hálózatok felé (azaz roaming közben) is hitelesíteni tudják magukat. 

A GSM rendszer biztonsági architektúrájában fontos szerepet játszik a mobil 
készülékekben található SIM kártya (Subscriber Identity Module). A SIM kártya 
egy intelligens chip-kártya, mely képes adatokat tárolni és azokon számításokat vé- 
gezni. A SIM kártyára úgy is gondolhatunk, mint egy, a mobil készülék belsejében 
elhelyezett mini-számítógépre. 

A SIM kártya lényegében az előfizetőt képviseli a GSM rendszerben (azaz az 
előfizető helyett végez kriptográfiai műveleteket). A SIM kártya tárolja többek 
között az U előfizető és a HN hazai hálózat (home network) közötti, hosszú élet- 
tartamú Ky szimmetrikus kulcsot. A SIM kártya ezen kulcs segítségével hitelesíti 
az előfizetőt a hálózat felé, mikor az előfizető egy hívást kezdeményez. Továbbá, a 
SIM kártya a Ky kulcs felhasználásával számolja ki a kommunikáció rejtjelezésére 
használt kapcsolatkulcsot is. Mivel minden biztonsági algoritmus a SIM kártyán 
van implementálva, ezért a Ky kulcs soha nem hagyja el a SIM kártyát. 

A GSM rendszer a következő kihívás-válasz alapú partnerhitelesítő protokollt 
használja az előfizető hitelesítésére: 


GSM előfizető-hitelesítés (egyszerűsített) 
(1) SIMy—GVN: IMSI 

0)  VN—GHN: IMSI 

B)  HNOVN: RANDISRESIKc 
(4) VN a SIMu: RAND 

(5)  SIMy—-GVN: SRES 


A fenti protokollban VN az idegen hálózatot (visited network) jelöli, melyben 
az U előfizető roaming közben szeretne hívást kezdeményezni. U SIM kártyája, 
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SIMy, elküldi U nemzetközi IMSI azonosítóját (International Mobile Subscriber 
Identity) VN-nek. VN nem tudja közvetlenül hitelesíteni U-t, mert nem ismeri 
a Ky kulcsot. Ezért tovább küldi az IMSI azonosítót az előfizető hazai hálóza- 
tának, HN-nek. Ezzel lényegében U hitelesítéséhez szükséges információkat kér 
HN-től. HN generál egy RAND véletlenszámot, melyet kihívásnak szán U felé, 
kiszámítja a kihívásra adandó helyes SRES — fg (RAND) választ, és generál egy 
friss Kc — gxy (RAND) kapcsolatkulcsot, ahol f és g két alkalmas függvény, melyet 
a hazai szolgáltató akár maga választhat. Ezek után HN elküldi a RANDISRESIKc 
hármast VN-nek. 

VN elküldi a RAND véletlenszámot SIM y-nak, amely Ky ismeretében kiszá- 
mítja az SRES" — fg, (RAND) választ és a Kc kapcsolatkulcsot. Végül, SZM u el- 
küldi az SRES" választ VN-nek, amely összehasonlítja azt a HN-től kapott SRES 
értékkel. Egyezés esetén U hitelesítése sikeres, és VN engedélyezi a szolgáltatás- 
hoz történő hozzáférést. A továbbiakban U és VN a KG kulcsot használják a mobil 
készülék és a bázisállomás közötti forgalom rejtjelezésére. A rejtjelezés egy, a 
GSM szabványban specifikált kulcsfolyam rejtjelező segítségével történik. 


SSL 
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Az SSL (Secure Socket Layer) protokoll lehetővé teszi biztonságos TCP kap- 
csolatok kiépítését tetszőleges, amúgy TCP-t használó alkalmazások (pl. HTTP, 
FTP, SMTP, stb.) között. Kifejlesztésének fő motivációja a Web-böngésző és a 
Web-szerver közötti kommunikáció biztonságossá tétele volt, ezért szokták a Web 
biztonsági protokolljának is nevezni. 

Az SSL protokoll több alprotokollból áll, melyek közül a két legfontosabb al- 
protokoll a következő: 


e Record protokoll: A Record protokoll feladata a kliens és a szerver (pl. egy 
Web-böngésző és egy Web-szerver) közötti kommunikáció védelme, mely 
titkosítást, integritásvédelmet és üzenetvisszajátszás elleni védelemet jelent. 


e Handshake protokoll: A kliens és a szerver a Handshake protokoll segít- 
ségével egyezteti a Record protokollban használt kriptográfiai algoritmuso- 
kat és az algoritmusok paramétereit, beleértve a kulcsokat is. A Handshake 
protokoll további feladata a felek hitelesítése. Tipikusan a szerver mindig 
hitelesíti magát, a kliens hitelesítése azonban csak opcionális. 


A továbbiakban tömören ismertetjük a Record és a Handshake protokoll működé- 
sét. 
Az SSL Record protokoll 


Az SSL Record protokoll a felsőbb protokoll rétegektől érkező üzeneteket a követ- 
kező lépéseken keresztül dolgozza fel: 


e a hosszú üzeneteket fragmentálja, 
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KEZI EKET HEZ 


(tömörített) fragmens 





3.19. ábra. Az SSL Record protokoll üzenetformátuma. 


e a fragmenseket tömöríti, 
e minden tömörített fragmenst fejléccel lát el, 


e a fejléccel ellátott tömörített fragmensre üzenethitelesítő kódot (MAC) szá- 
mol és azt a fragmenshez csatolja, 


e majd az üzenethitelesítő kóddal ellátott tömörített fragmenst rejtjelezi. 


A vevő a feldolgozást értelemszerűen ellentétes sorrendben végzi. A feldolgo- 
zás során használt tömörítő, üzenethitelesítő, és rejtjelezési algoritmusokban, pa- 
raméterekben, illetve kulcsokban az SSL Handshake protokoll végrehajtása során 
egyeznek meg a felek. A fenti lépések eredményeként előálló Record üzenet for- 
mátumát a 3.19. ábra mutatja. 

Az üzenethitelesítő kód generálása a HMAC egy korai verziójával történik az 
alábbiak szerint: 

MAC — H(KMK I pad, I H(KMÉC I pad), I segnum I type I length I payload)) 


write 


ahol: 


e H az MD5 vagy a SHA-I1 hash függvény, attól függően, hogy a Handshake 
során miben egyeztek meg a felek. 


e KMAC a MAC érték generálásához használt titkos kulcs, melyet csak a kli- 


ens és a szerver ismer. Az SSL különböző irányokban különböző kulcsot 
használ, azaz a klienstől a szerver felé tartó üzenetek integritását egy Kes 
kulccsal, a szervtől a kliens felé tartó üzenetek integritását pedig egy K kelve 


kulccsal védi. A kliens a KIVS kulcsra KMAC néven hivatkozik (küldésre 
használt MAC kulcs), a KIMG kulcsra pedig a KMAC néven (vételre használt 


MAC kulcs). A szerver oldalon az egyes kulcsok szerepe nyilván fordított. 


e pad) és pad; két konstans bájtsorozat. 
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e segnum az üzenet sorszáma. Az SSL implicit üzenetsorszámot használ, ami 
azt jelenti, hogy a sorszám nem jelenik meg explicit mezőként az üzenetben 
(lásd 3.19. ábra), de a MAC számításban felhasználják aktuális értékét, me- 
lyet mindkét fél lokálisan számontart. Ezt azért lehet így megtenni, mert az 
SSL Record protokoll a TCP protkoll felett helyezkedik el, és a TCP normá- 
lis körülmények között biztosítja az üzenetek sorrendhelyes vételét. Ezért 
általában igaz az, hogy mindig a várt sorszámú üzenetet veszik a felek. Ha 
valamilyen támadás vagy hiba folytán nem a várt sorszámú üzenet érkezik 
meg (ami tehát abnormális jelenség), akkor a MAC ellenőrzés sikertelen lesz 
és a vevő bontja a kapcsolatot. 


e type és length az üzenet fejlécében található típus és hossz mezők értéke. 
e payload az üzenetben található (tömörített) fragmens. 


A 3.19. ábrán a Record üzenet rejtjelezett részét szürke színnel jelöltük. Mint 
látható, a fejléc kivételével az egész üzenet rejtjelezve van. Az SSL alapértelme- 
zett rejtjelező algoritmusa az RC4 kulcsfolyam rejtjelező, de a Handshake proto- 
koll végrehajtása során a felek más algoritmusban is megegyezhetnek. Az SSL 
támogatja még az RC2, a DES, a három kulcsos 3DES, az IDEA, és a Fortezza 
blokkrejtjelezők CBC módban történő használatát. Amennyiben a felek valame- 
lyik blokkrejtjelező használatában egyeznek meg, úgy a rejtjelezés előtt minden 
Record üzenetet ki kell tölteni, hogy hossza a rejtjelező blokkméretének egész 
számú többszöröse legyen. A kitöltés bájtjai a MAC után kerülnek az üzenetbe. 
A MAC számításhoz hasonlóan, a felek különböző irányokban különböző kulcso- 
kat használnak a rejtjelezéshez is. Ennek megfeleően a kliens egy Kc. s kulccsal 
rejtjelezi üzeneteit, a szerver pedig egy Xs5..c kulcsot használ. A kliens a Kc..s 
kulcsra Kyrire néven, a Ks. ,c kulcsra pedig K,eag néven hivatkozik. A szerver olda- 
lon az egyes kulcsok szerepe nyilván fordított. 

Blokkrejtjelező használata esetén, a CBC mód miatt, szükség van IV-re is. 
Az első üzenet rejtjelezéséhez használt IV-t a Handshake során generálják a felek 


(a kulcsokkal együtt). Minden további üzenetnél az előző üzenet utolsó rejtjeles 
blokkját használják IV-nek. 


Az SSL Handshake protokoll 


Az SSL Handshake protokoll egy komplex protokoll. A komplexitás legfőbb oka 
az, hogy a Handshake protokoll többféle kulcscsere módszer használatát is támo- 
gatja, és a Handshake üzenetek értelmezése az egyes módszerek esetén más és 
más. Ezért itt most nem is vállalkozunk az SSL Handshake protokoll részletes 
ismertetésére, csupán nagy vonalakban összefoglaljuk a főbb lépéseit. 

Az SSL Handshake protokoll négy fázisra tagolódik. Az első fázisban törté- 
nik meg a Record protokollban használandó algoritmusok egyeztetése, valamint 
a Handshake hátralevő részében használt kulcscsere módszer kiválasztása. Ezen 
kívül a felek az első fázisban kicserélnek két frissen generált véletlen számot is, 
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melyet a további számításoknál (pl. a kulcsok generálásában) használnak majd. 
A második fázisban a szerver a kiválasztott módszernek megfelelően végrehajtja 
a kulcscsere ráeső részét, míg a kliens a harmadik fázisban teszi meg ugyanezt. 
A harmadik fázis után, az addig kicserélt információt felhasználva, mindkét fél 
előállítja a közös mestertitkot, majd abból generálja az új kapcsolatkulcsokat. A 
negyedik fázisban a felek áttérnek az új algoritmusok és kulcsok használatára. 
Továbbá a mestertitok felhasználásával kiszámolnak egy kriptográfiai ellenőrző- 
összeget az összes addig a pontig küldött és vett Handshake üzenet együttesére, 
és elküldik egymásnak ezeket az ellenőrzőösszegeket. Ily módon igyekeznek de- 
tektálni a Handshake során egy harmadik fél által esetlegesen végrehajtott aktív 
támadásokat. 

Mint említettük, az SSL több kulcscsere módszert is támogat. Ezek közül a 
fontosabbak a következők: 


e RSA alapú kulcscsere: RSA alapú kulcscsere esetén a kliens generál egy 
48 bájt méretű véletlen blokkot, amelyet a szerver nyilvános RSA kulcsával 
kódolva elküld a szervernek. Ebből a véletlen blokkból aztán mind a kliens, 
mind a szerver előállítja a közös mestertitkot. 

Fix Diffie-Hellman-kulcscsere: Fix Diffie-Hellman-kulcscsere esetén a fe- 
lek a Diffie-Hellman-algoritmust használják, és az ennek eredményeként ki- 
alakult közös értékből generálják a mestertitkot. A fix jelző arra utal, hogy 
a szerver Diffie-Hellman-paraméterei (p, g, 97 mod p) fixek, azokat egy hi- 
telesítés szolgáltató aláírta, és az erről szóló tanúsítványt a kliens ellenőrizni 
tudja. 


22 


Egyszeri Diffie-Hellman-kulcscsere: Az előző módszerhez hasonlóan Dif- 
fie-Hellman-algoritmust használnak a felek, de a szervernek nincsenek fix, 
aláírt Diffie-Hellman-paraméterei. Helyette a szerver egyszer használatos 
paramétereket generál, és azokat RSA vagy DSS aláíró kulcsával aláírva jut- 
tatja el a kliensnek. A kliens szintén egyszer használatos Diffie-Hellman 
nyilvános értéket generál a szerver p és g paramétereit használva. 


Anonim Diffie-Hellman-kulcscsere: Ezen módszer használata esetén a fe- 
lek az eredeti, hitelesítés nélküli Diffie-Hellman-algoritmust hajtják végre. 
Ezen módszer használata nem tanácsos, ha az aktív támadások veszélyét nem 
lehet kizárni. 


A kulcscsere végrehajtása után a kliens és a szerver előállít egy közös K mes- 
tertitkot. Ez a következő módon történik. Jöljük K"-vel a kliens által generált 48 
bájtos véletlen blokkot, melyet RSA alapú kulcscsere esetén a kliens a szerver nyil- 
vános RSA kulcsával rejtjelezve juttat el a szervernek. Fix, egyszer használatos, 
vagy anonim Diffie-Hellman-kulcscsere esetén pedig K" jelölje a Diffie-Hellman- 
algoritmus g"" mod p végeredményét. Ekkor 


K — MD5(K" I SHAI(, A? IK" INelN5)) I 
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MD5(K" I SHAI(,BB"IK" 1Nc1IN5)) I 

MD5(K" I SHAI(,CCC" I K" 1 Ne I N5)) 
ahol Nc és Ns5 a Handshake első fázisában kicserélt véletlen számok, ,,A", , BB" és 
, CCC" pedig az , A", a , B", illetve a , C" ASCII karakterekből alkotott egy, kettő, 
illetve három hosszú karakterláncok. Mivel az MD5 hash függvény kimenetének 
mérete 16 bájt, ezért a három hash érték összefűzéséből nyert X mestertitok 48 
bájt hosszú. Ebből a mestertitokból generálja mindkét fél a Record protokollban 
használt MAC kulcsokat, rejtjelező kulcsokat és IV-ket. 

Mint korábban említettük, a Handshake során megtörténik a szerver, és opci- 
onálisan a kliens hitelesítése is. A szerver hitelesítése tipikusan a szerver tanúsít- 
vány ellenőrzésével történik. A kliens hitelesítéséhez a kliensnek is szüksége van 
tanúsítványra. Mivel azonban a gyakorlatban a legtöbb kliensnek (felhasználónak) 
nincsen tanúsítványa, ezért a kliens általában nem hitelesíti magát az SSL protokoll 
szintjén. Ha az alkalmazás jellege mégis szükségessé teszi a klienshitelesítést (pl. 
home banking), akkor azt maga az alkalmazás végzi el (pl. jelszó alapú hitelesítés). 


DigiCash 


A DigiCash egy elektronikus fizetési rendszer, mely a hagyományos készpénz 
modellje szerint működik. Ebben a rendszerben, az elektronikus készpénz (e-cash) 
egy bináris sorozat, melynek egyik számítógépről a másikra történő küldésével 
történik meg a fizetés. A DigiCash tervezésénél fontos szempont volt, hogy a ha- 
gyományos készpénzhez hasonlóan lehetővé tegye a nyomonkövethetetlen on-line 
vásárlást. Ez azt jelenti, hogy még az elektronikus érméket kibocsájtó bank sem 
képes nyomonkövetni, hogy hol, mit, és mennyiért vásárolnak az ügyfelei. A Di- 
giCash ezen tulajdonsága élesen megkülönbözteti ezt a rendszert a hitelkártyás vá- 
sárlástól, ahol a bank pontosan ismeri ügyfelei vásárlási tranzakcióinak részleteit. 

A DigiCash rendszer résztvevői a C vásárló, az M kereskedő, valamint a B 
on-line bank. Feltesszük, hogy a vásárlónak és a kereskedőnek számlája van a 
bankban. Feltesszük továbbá, hogy a bank rendelkezik (e;,d;) RSA kulcspárok 
egy sorozatával, ahol az egyes párok különböző pénzcímletekhez tartoznak (pl. i € 
(1,2,5, 10,20, 50, 100, . . . ). Mikor a vásárló pénzt szeretne kivenni a számlájáról, 
hitelesíti magát a bank felé. Hasonlóképpen, mikor a kereskedő be akarja váltani 
a vásárló által elköltött érméket a banknál, akkor hitelesíti magát a bank felé. A 
vásárló és a kereskedő bank felé történő hitelesítése bármilyen parnerhitelesítési 
módszerrel történhet. Az alábbi DigiCash protokoll az egyszerűség kedvéért ezeket 
a hitelesítési lépéseket nem tartalmazza, csak azt szemlélteti, hogyan történik az 
elektronikus érme létrehozása, elköltése, és beváltása. 
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292 


DigiCash protokoll (egyszerűsített) 
4) C—aGB: v,b—s-r" mod n 
(2) B-—OC: bb modn 

B) COM: c— (y, s, s$ mod ny) 
(4) M—B: c 

(5) B-—OM: valid / invalid 


A vásárló generál egy s (részben) véletlen sorozatszámot, amelyre teljesül, 
hogy az s-et reprezentáló bitsorozat bal oldali fele egyértelmű determinisztikus 
kapcsolatban van a jobb oldali felével. A vásárló kiválasztja a kívánt v címlethez 
tartozó e, nyilvános kulcsot (és n, modulust) a bank kulcsai közül, és választ egy 
csak általa ismert, titkos r véletlen számot, majd elküldi az (1) üzenetet a banknak. 

A bank levonja a választott címletnek megfelelő összeget a vásárló számlájá- 
ról, majd az (1) üzenetben kapott b üzenetrészt aláírja az adott címletnek meg- 
felelő d, titkos kulcsával, s az eredményt a (2) üzenetben visszaküldi a vásár- 
lónak. A vásárló a b" mod n, — s - r mod n, és az r ismeretében egy osztás- 
sal előállítja az s" mod n, értéket, azaz a bank aláírását az s sorozatszámon. A 
c — (v, s, 54 mod n,) hármas az elektronikus érme. Ennek megfelelően leolvas- 
ható az értéke, a sorozatszáma, valamit hordozza a bank digitális aláírását. 

A fizetés során a vásárló elküldi a megfelelő címletű elektronikus pénzek egy 
sorozatát a kereskedőnek. Az egyszerűség kedvéért tegyük fel, hogy a vásárló a 
(3) üzenetet küldi, mely csak egyetlen érmét tartalmaz. A kereskedő az érmét a (4) 
üzenteben elküldi a banknak, egyrészt ellenőrzésre, másrészt, hogy a bank a pénzt 
jóváírja a kereskedő számláján. 

A bank először azt ellenőrzi, hogy az s sorozatszám nem szerepelt-e már egy 
korábbi ellenőrzésnél, azaz nincs-e szó pénzduplikálásról. Ha a bank duplikálást 
észlel, azaz a pénzt egyszer már elköltötték és beváltották, akkor jelezi a kereske- 
dőnek, hogy az általa ellenőrzésre bemutatott érme másolat (invalid üzenet). Ellen- 
kező esetben, a bank ellenőrzi, hogy az s és 5" mod n, összetartozó pár-e, azaz az 
érme a bank hiteles aláírását hordozza-e. Ezt a v címlethez tartozó nyilvános kulcs 
felhasználásával végzi. Ha az aláírás hiteles, akkor a bank tárolja az s sorozat- 
számot (későbbi ellenőrzések céljára), és azt ettől kezdve a forgalomból kivontnak 
tekinti. Ezután a bank jóváírja a megfelelő összeget a kereskedő számláján, és 
tájékoztatja a kereskedőt, hogy az érme beváltása sikeres volt (valid üzenet). 

Figyeljük meg, hogy amikor a bank aláírását adja a b üzenetre, akkor b felépí- 
tése miatt nem tudja megállapítani a vásárló által éppen választott s sororozatszám 
értékét, hiszen az ismeretlen r véletlennel való moduláris szorzás elfedi azt. Te- 
hát úgy ad aláírást a b üzenet aláírásra szánt s részére, hogy nem láthatja annak 
valódi értékét. Az ilyen módon történő aláírást vak aláírásnak nevezzük. A vak 
aláírás technika alkalmazása biztosítja, hogy a bank nem tudja nyomonkövetni a 
pénz mozgását, azaz mikor a kereskedő beváltja az s sorozatszámú érmét, akkor a 
bank nem tudja, hogy melyik vásárló számára írta alá ezt a sorozatszámot. 

Láttuk, hogy a DigiCash rendszerben a pénzduplikálási kísérletek a banki el- 
lenőrzésen fennakadnak. Ravaszabb csalási kísérlet lehet a banki aláírás hamisí- 
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tása. Ehhez a hamisítónak olyan értéket kellene találnia, amelyet a címletnek meg- 
felelő banki nyilvános kitevőre emelve egy érvényes sorozatszámra jutna. Mivel 
azonban a sorozatszámoknak rögzített struktúrája van, megfelelő méretek mellett 
gyakorlatilag kizárható ezen támadás sikere. 


3.6. Feladatok 


3.1. feladat. Egy egyszerű lineáris rejtjelezőt konstruálunk az 
y — (a:x3 b) mod n 


lineáris transzformációval, ahol a és b a kulcs részei, x a nyílt szöveg, y a rejtett 
szöveg, továbbá n az ábécé mérete. 


a) Adja meg a kulcstér méretét, ha n — 256 . 


b) A kulcsot szeretnénk megfejteni. Tegyük fel, hogy a forrás ideálisan tömörített, 
s így véletlen forrásként modellezhető. Rejtett szövegű támadásban is gondol- 
kodhatunk? 


c) Milyen információt kellene birtokolnunk egy véletlen forrás esetén a sikeres 
támadáshoz? 


d) Mit mondhatunk az esetben, ha a forrás írott szöveg, s ismerjük a karakterek 
gyakoriságát? 


3.2. feladat. Írott szövegek rejtjelezését betűpárokra alkalmazott lineáris rejtjele- 
zéssel végezzük: y — (a:x--b) mod n?, ahol a és b a kódoló kulcs elemei, (a,n?) — 
1, továbbá n az ábécé mérete. Az ábécé elemeit a (0, I, . . . 1 — 1) halmaz eleme- 
inek feleltetjük meg. A nyílt és rejtett szöveg, azaz x illetve y a (0, 1, . . . n? — 1), 
halmazból veszi értékét, olyan módon, hogy egy (u,v) forrás-betűpárt az u-1n--v 
egészbe képezve áll elő egy x nyílt szöveg. Az y rejtett szöveget továbbítás előtt 
visszaképezzük betűpárba. A betűpárok összefogásától azt várjuk, hogy a rejtett 
szövegben az egyenletesebb betűpár gyakoriság érvényesül a gyakran nagyon in- 
homogén betűgyakoriság esetén is, ezáltal csökkentve egy statisztikai alapú táma- 


dás esélyét. Helyes-e ezen várakozásunk? 


3.3. feladat. 8 bites karaktereket szeretnénk rejtjelezni Hill-rejtjelezővel. Defini- 
áljon alkalmas kripto-rendszert a feladat megoldására! Adja meg a nyilt szövegek 
terét, a rejtett szövegek terét, és a kulcsteret. Válasszon egy alkalmas kulcsmátri- 
xot, és számolja ki a dekódoláshoz szükséges inverz-kulcsot! 


3.4. feladat. Tekintsük a következő rejtjel-rendszert: nyílt üzenetek tere P — (a,b), 
rejtett üzenetek tere: C — (a, B,y,ő, e). kulcstér: X — (1,2,3,4,5). A kódolást a 


Bo TA 


következő táblázat írja le: 
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1 2 3 4 .5 
a a B y e ő 
b Bőoaye 

Legyen a kulcs eloszlása Px — 15. 5 2; 1 Ta) és a nyílt szövegek eloszlása Pp — 


(3.3). Tökéletes-e a fenti rejtjelező? Miért? 


3.5. feladat. Tekintsünk egy lineáris bináris blokk rejtjelezőt. Adja meg az ismert 
nyílt-rejtett párokon alapuló támadást a rejtjelező ellen! Van-e megkötés a párokra? 


3.6. feladat. Legyen x az x bináris blokk bitenkénti komplemense. Ex(x) jelölje 
x DES kódolását K kulcs mellett. Igazoljuk, ha y — Ex(x), akkor y — Ex(x), azaz 
egyszerre komplementálva az üzenet, rejtett szöveg és kulcs blokkokat, köztük a 
rejtjelező kódolási leképezés kapcsolat változatlanul fennáll! 


3.7. feladat. Tegyük fel, hogy DES rejtjelezést használtunk 64 bites üzenet blok- 
kok rejtjelezésére, amelyek 8 bites karakterekből állnak, s a 8. bit paritásbit. Elv- 
ben végrehajtható-e a kimerítő kulcskeresés támadás csak rejtett szövegek megfi- 
gyelésére alapozva (azaz várhatóan sikerül-e kiválasztani a keresett kulcsot)? Hány 
rejtjeles blokkot kellene megfigyelni ehhez? (A DES kódolást és dekódolást vélet- 
len függvényként modellezheti.) 


3.8. feladat. Fermat-álprím-e 
a) n— 87 a b — 5 bázisra nézve? 
b) n—-— 33 ab — 32 bázisra nézve? 


3.9. feladat. Egy játék RSA algoritmus esetén: p — 5, g — 11 prímeket választot- 
tuk. Adja meg a legkisebb kódoló kulcsot, s az ehhez tartozó dekódoló kulcsot! 


3.10. feladat. Alice publikus RSA kulcsa a következő: (n — 11413,e — 9). Rejt- 
jelezze az m — 9726 üzenetet Alice számára! 


3.11. feladat. Támadjon egy RSA rejtjelezőt, amelyről a nyilvános n — 4003997 
modulus valamint az e — 379 kulcs mellett megtudja a p(n) — 3999996 értéket 
is. 

a) Számítsa ki a d dekódoló kulcsot! 


b) Adja meg az n prímfaktorait! 


3.12. feladat. Ha két, RSA rejtjelezéssel kommunikáló pár közötti különböző le- 
hetséges üzenetek száma kicsi halmaz, az támadásra ad lehetőséget. Tegyük fel, 
hogy a támadó ismeri az üzenethalmazt, de nem ismeri az RSA dekódoló kulcsot, 
s támadásra szánja el magát. Adja meg a támadás menetét! 
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3.13. feladat. Ha gyors RSA kódolást kívánunk megvalósítani, miért előnyös az 
e — 3, illetve általában az e — 2" -- 1 alakú választás? Adja meg a számításigényt a 
szükséges szorzások számában. 


3.14. feladat. Legyen xi és x2 két üzenet, továbbá yi és ya a megfelelő két rejtje- 
les blokk, amelyet RSA kódolással kaptunk. Érvényes a következő multiplikatív 
tulajdonság: 

y1:y2 S(xi:x2)" (modn) 


Azaz, az üzenetek szorzatának rejtjeles képe a rejtjeles képek modn szorzata. Egy 
támadó dekódolni szeretne egy x" mod n — y rejtett szöveget. Tegyük fel, hogy 
a megtámadott dekódol tetszőleges neki küldött, számára nem bizalmas tartalmú 
üzenetet. Hogyan hajthat végre a támadó sikeres támadást az y dekódolására? 


3.15. feladat. Egy n bites hash értéket képező iteratív hash függvényből n" — 2n 
bites lenyomatot képzőt szeretnénk előállítani olyan módon, hogy a két utolsó ite- 
ráció eredményét konkatenáljuk, azaz CVr.1]CVL 2n bites lenyomatot használunk 


az n bites CV; helyett. Hatásos-e ezen dimenziónövelő megerősítési ötlet a szüle- 
tésnapi támadás sikerének csökkentésére? 


3.16. feladat. Legyen Hi és H2 két ütközés-ellenálló hash függvény. Bizonyítsa 
be, hogy a konkatenáció művelettel kapott H(x) — H1(x)IH2(x) hash függvény is 
ütközés-ellenálló. Tehát ez a dimenziónövelés hatásos. 


3.17. feladat. Rejtjelezett üzeneteinket egy 107" bit hiba arányú csatornán továb- 
bítjuk. Mekkora bit hiba arányt figyelhetünk meg a dekódoló kimenetén ha 


a) AES-t használunk CBC módban? 
b) AES-t használunk CFB módban, és 8 bites karaktereket rejtjelezünk? 
c) AES-t használunk CTR módban, és teljes blokkokat rejtjelezünk? 


3.18. feladat. Tekintsük az alábbi integritásvédelmi kódolást, ahol rejtjelezés és 
MAC kombinációját használjuk: 


Ek(miMACkx: (m)) 


Legyen CBC módú mind a rejtjelezés, mind a MAC számítás, ahol az egyik funk- 
cióra (IV,K), míg a másikra (IV",K") (inicializáló vektor, kulcs) páros kerül al- 
kalmazásra. Van-e veszélye annak, ha IV — IV" K — K" egyszerűsítő választással 
élünk? Mi a tanulság? 


3.19. feladat. A Woo-Lam-protokollban A hitelesíti magát B-nek egy S megbíz- 
ható harmadik fél segítségével. §-re azért van szükség, mert feltételezzük, hogy A 
és B nem rendelkezik közös kulccsal. Ezzel szemben feltesszük, hogy A és S vala- 
mint B és § rendelkezik egy közös Kas illetve Xgs kulccsal. A protokoll lépései a 
következők: 


Kódolástechnika - 2006 - crysys web változat - 6. 


3.7. MEGOLDÁSOK 146 


Woo-Lam-protokoll 

(1) A—B: A 

(2) B — A: NB 

B) AB: (Np)xus 

(4) B—S: (AIANgYxas ks 
(5) S c B: (NB )xKps 


Az első üzenetben A elküldi saját azonosítóját B-nek, aki egy frissen generált 
N; kihívással válaszol. A rejtjelezi N-t a Kas kulccsal, és az eredményt visszaküldi 
B-nek. B nem tudja dekódolni A válaszát, ezért továbbküldi azt S-nek, mellétéve 
A azonosítóját, és az egész üzenetet a Kgs kulccsal rejtjelezve. § dekódolja az 
üzenetet, sorban mindkét kulccsal, majd Nz-t rejtjelezi Kgs-sel, és az eredményt 
visszaküldi B-nek. Mostmár B is dekódolni tudja az üzenetet, és ellenőrzi, hogy 
visszakapta-e Ng-t. Ha igen, akkor B úgy gondolja, hogy A hitelesítette magát. 


a) Mutassuk meg, hogy egy legális, de rosszindulatú X részvevő meg tudja szemé- 
lyesíteni A-t! (Segítség: Mivel X legális résztvevő, ezért rendelkezik egy Kxs 
kulccsal, és kezdeményezni tudja a protokollt B-vel.) 


b) Javítsuk ki a protokollt! 


3.7. . Megoldások 


3.1. megoldás. 


a) Az a kulcselem multiplikatív inverzének léteznie kell modn, aminek feltétele 
(an) — 1. n— 256 — 25 esetén 28 — 27 — 2" ilyen szám van az [1,255] tar- 
tományban. b kulcselem 2 féleképpen választható. Az a — 1, b — 0 esetet 
kizárva (identitás transzformáció), a kulcstér mérete 27 - 28 — 1 — 32767. 








b) Nem. Ha a forrás véletlenszerűen sorsol az ábécé elemei közül, akkor az a - 
x szorzat is ilyen, következésképp az y rejtett szöveg és b kulcselem közötti 
kölcsönös információ zérus. 


c) Két olyan (x,y), (x,y) ismert nyílt-rejtett pár elegendő, amelyre (x— x")"! 
mod 256 létezik. 


d) A betűnkénti rejtjelezés miatt a karaktergyakoriságok az ábécé felett permutá- 
lódnak, de az értékek nem változnak. Ezért, ha van két szignifikánsan kiemel- 
kedő gyakoriságú karakter az ábécében, akkor ezen gyakoriságok a rejtjelezés 
után is ugyanúgy léteznek. Ekkor statisztikai alapú támadással rejtett szöveg 
elegendő mennyiségben történő megfigyelése után végrehajtható a támadás: a 
legnagyobb gyakoriságú rejtett szöveg karakterekhez tartozó nyílt szöveg ka- 
rakterekre sejtést teszünk, s minden ilyen sejtés egy újabb egyenletet ad az 
ismeretlen kulcselemekre. Két ilyen, lineárisan független egyenlet alapján ka- 
punk sejtést a két kulcselemre, amelyek helyességét ismert szövegpáron tesz- 
teljük. 
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3.2. megoldás. Nem. Ugyanis x — u-n--v esetén, y — (a: (u:n1-v) 1-b) mod n? — 
((a:u) :n- (a:v 1 b)) mod n? — w:n-- z, azaz a rejtett szöveg betűpár második 
karaktere (z) csak a nyílt szöveg betűpár második karakterétől (v) függ. 


3.3. megoldás. Egy lehetséges megoldás, hogy a 8 bites karaktereket két 4 bites 
félre bontjuk, s az így nyert két elemű vektort szorozzuk egy 2 x 2-es kulcsmátrix- 
szal. A műveleteket Z24 felett végezzük. Ekkor: 


e A nyílt szövegek tere: P — VT 
e A rejtett szövegek tere: C — Ze 


e A kulcstér: a Z16 feletti invertálható 2 x 2-es mátrixok halmaza. 


Minden invertálható mátrix alkalmas kulcsnak. Egy K mátrix akkor inver- 
tálható Z16 felett, ha (det(K), 16) — 1. Például a 


74 
k- [55] 
mátrix megfelel, mert det(K) — 7-3—4-5— 1. 


e Azinverz-kulcs: 


—1 -i] ka —-kn] , ] 3-4] [312 
Té Tsz REÉSI és ki Ses o Tett a 


3.4. megoldás. A rejtjelező nem tökéletes, mert pl. P(Y— a JX—a)—Px(1) — ő 


és P(Y —a]X— b) — Px(3) — £, azaz X és Y nem függetlenek. 


3.5. megoldás. y — A - xb, ahol y, x, b n bites bináris vektorok, A egy n xn 
bites bináris mátrix, x a nyílt blokk, y a rejtett blokk, K — (A, b) a kulcs. Lineáris 
egyenletrendszer megoldással történik a támadás. n--1 párra van minimálisan 
szükség, amelyből n darab, lineárisan független nyílt szöveghez tartozik. 


3.6. megoldás. A DES egy rétegének struktúrájára tekintve az igazolás nyilván- 
való: A DES S-dobozok bemenete nem változik, mivel az iterációs kulcs is és az 
adat input félblokk is komplementálva van, s XOR összegük kerül a bemenetekre, 
azaz apb — ag b. Továbbá, a kimeneten ehhez a másik adat input félblokk komp- 
lementáltja adódik. 


3.7. megoldás. Igen, végrehajtható, mivel ismerjük a rejtjeles szöveg redundáns 
struktúráját, amit adott esetben az egy blokkbeli 8 paritásbit jelent. Annak a való- 
színűsége, hogy egy téves kulccsal helyes paritásúra dekódolunk egy rejtett szöveg 
blokkot, 278 . Annak a valószínűsége, hogy például 7 rejtjeles blokk mindegyikét 
helyes paritásúra dekódoljuk téves kulcs mellett 27", tehát ez esetben a ki nem 
szűrt téves kulcsok átlagos száma a kulcstér teljes végigkeresése után 259 . 2756 — 1 
lenne. Ezért, például, 10 rejtjeles blokk megfigyelése elegendő lenne a gyakorlati- 
lag egyértelmű kulcsazonosításhoz. 
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3.8. megoldás. 
a) Nem, 596 — 25 (mod 87) 
b) Igen, 3222 — (—1)2— 1 (mod 33). 


3.9. megoldás. e számítása: n— 55 — 0(n)—4-10—40—2-2-2-56e—3.d 
számítása: 40 — 13-33-16 1-40-4-(—13)-3—1—6d-——13—27 mod 40. 





3.10. megoldás. A c — m" mod n — 97269 mod 11413 kifejezést kell kiszámol- 
nunk. Az ismételt négyzetre emelés és szorzás módszerét használjuk. Ehhez fel- 
használjuk, hogy a 9 bináris alakja 1001. 


i b; cj—m"-cia modn 


C4 — 1 
3 1 cz —9726-1? mod 11413 — 9726 
2 0 c, —9726? mod 11413 — 4132 
1 0 ci —4132? mod 11413 — 10989 
0 1 cg —9726-10989? — 9726 - 3663? . 32 — 6950 


A rejtett szöveg tehát c — 6950. 


3.11. megoldás. 


a) 1 — (3999996, 379) — a - 3999996 3- b . 379. Az euklidészi algoritmus felhasz- 
nálásával: 1 — (139) - 3999996 4- (—1467017) - 379, ahonnan d — —1467017 — 
2532979. 


b) 9(a)—(p—1)(a—1)—pag—(p--a)3-1—n—(p--n/p) 4-1 alapján másodfokú 
egyenletre jutunk p-ben, ahonnan p — 2003, g — 1999. 


3.12. megoldás. A támadó elkészíti a lehetséges üzenetek kódolt megfelelőjét a 
nyilvános kódoló kulcs birtokában, s tárolja a fnyílt üzenet, rejtett üzenet) párok 
halmazát. Megfigyelve a csatornában az aktuális rejtett üzenetet a tárolt párok 
halmaza alapján rekonstruálni képes az üzenetet. 


3.13. megoldás. Az ismételt négyzetre emelés és szorzás algoritmust hasznljuk a 
hatványozáshoz, ahol a szorzások száma a kitevőben található egyesek számával 
egyezik meg. Az e — 2" 3-1 kitevőben minimális számú, azaz kettő egyes található. 


3.14. megoldás. A támadó elfedi az eredeti x tartalmat azáltal, hogy beszorozza 
y rejtjeles szöveget az üzenetek teréből választott r véletlen elem r" mod n rejtje- 
lezettjével, s az y -r" mod n szorzatot nyújtja be dekódolásra. A dekódolás ered- 
ménye z — r:x mod n lesz. Amennyiben r invertálható modn (ez gyakorlatilag 
biztos esemény), akkor a támadó könnyen kiszámítja az x üzenetet. Ezen támadás 
ugyanakkor könnyen kivédhető, ha a támadott csak olyan dekódolt üzeneteket ad 
ki, amelyek előre rögzített formátumnak megfelelők. 
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3.15. megoldás. Nem, mivel a kapott hash függvény ellen O(2"/2) -nél kisebb 
számításigényű születésnapi ütközéses támadás továbbra is végrehajtható. Ugyanis 
elegendő csak magára az n bites CV, 1 -re végrehajtani ezt a támadást, mert ha az 
m — milmol . . .Imr-1 és m — mlm] . . . Im. 1] üzenetpárra ütközés áll elő CVI. 1- 


re, akkor mz blokkal meghosszabbítva m és m" üzeneteket, előáll az ütközés CVL-re 
is, s így CVL- 1ICVr-re is. Ezért a támadás O(2"/9) számításigényű maradt. 


3.16. megoldás. A bizonyítás indirekt. Ha lenne (m,m!) üzenetpár, amelyre ütkö- 
zés állna elő a H hash függvény kimenetén, akkor az nyilván ütközést jelentene 
a komponens H) és H; hash függvények vonatkozásában is, ami ellentmondana a 
feltevésünknek. 


3.17. megoldás. 


a) CBC módban egy bit hiba az i. rejtjeles blokkban elrontja az i. nyílt blokk 
bitjeinek felét (átlagosan) és a következő nyílt blokk egy bitjét. Mivel az AES 
blokk mérete 128 bit, ezért a dekódoló kimenetén megfigyelt bit hiba arány: 
(64-41) 1071 — 65.107. 


b) CFB módban egy bit hiba az i. rejtjeles karakterben elrontja az i. nyílt karakter 
egy bitjét majd az azt követő n/s nyílt karakter bitjeinek átlagosan felét, ahol n 
a rejtjelező blokkmérete és s a karakterek mérete bitben mérve. Jelen esetben 
n — 128, s — 8, ezért a megfigyelt bit hiba arány: (1 -- 8 .4) 1074 — 65-10-78. 


c) CTR módban nincs hibaterjedés, ezért a megfigyelt bit hiba arány a dekódoló 
kimenetén 1077. 


3.18. megoldás. A CBC mód lépéseit végiggondolva közvetlenül látható, hogy a 
feladatban adott kódolás eredménye Ex(m)lEk(0) az üzenettől függetlenül, azaz 
semmiféle integritásvédelmet nem kapunk. A tanulság az, hogy mindenképpen 


eltérő kulcsot kell alkalmazni. Például DES alkalmazása esetére K" kulcsra egy 
szokásos választás a X kulcs minden második félbájtjának komplementálása. 


3.19. megoldás. 


a) A támadás menete a következő: 


XoOB: X 

XA 7 B: A 
B— X: Npx 

B. X4: NBa 


X — B: (NBa )Kxs 
XA 7 B: (NBa YKxs 

BG S: (X 1] (NBa) kes YKas 
Ba S: (Al (NBalkesYKas 
S c B: (Na )Kps 

Sc B: (xx) kes 
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ahol x jelöli azt apénzfeldobás sorozatot, amit S kap, amikor (Npa )xxs-et dekó- 
dolja a K4s kulccsal. B a szervertől kapott válaszokat helytelenül rendeli hozzá 
az éppen futó protokoll példányokhoz. Ez azért van, mert csak a szervertől 
visszakapott kihívás elem értékét tudja ellenőrizni, és mivel az megegyezik az- 
zal az Nxa4-val, amelyet B A-nak küldött, ezért azt hiszi, a protokoll A-val futott 
le sikeresen és valaki megpróbálta megszemélyesíteni X-et. Valójában azonban 
A egyáltalán nincs jelen a támadás alatt. 


b) Egy lehetséges javítás a következő: 


Javított Woo-Lam-protokoll 
(4) A-B: A 

(2) B— A: NB 

68) AG B: (B, NBIKws 
W B—OS: A, (B, NgIKws 
(5) Soc B: (A, B, NB) kes 


Figyeljük meg az azonosítók explicit használatát az üzenetekben! 


3.8. . Összefoglalás 


Ebben a fejezetben bemutattuk a kommunikációs rendszerekben alkalmazott főbb 
biztonsági szolgáltatások — azaz a titkosítás, az integritásvédelem, a hitelesítés és 
a letagadhatatlanság — megvalósításához szükséges kriptográfiai eszközöket. 

Megismerkedtünk két fontos kriptográfiai primitívvel, a rejtjelezéssel és a krip- 
tográfiai hash függvényekkel. A rejtjelezésnek két fajtája létezik, a szimmetrikus 
kulcsú és az aszimmetrikus kulcsú, vagy más néven nyilvános kulcsú rejtjelezés. 
A szimmetrikus kulcsú rejtjelezőket tovább osztályoztuk kulcsfolyam rejtjelezőkre 
és blokkrejtjelezőkre. Megvizsgáltuk a primitívek konstrukciójának elvi kérdéseit 
és bemutattuk az ismertebb algoritmusok működését, úgy mint a DES, a 3DES, az 
AES és az RSA. 

Bemutattuk továbbá, hogy a primitívek mint építőelemek segítségével hogyan 
konstruálhatók kriptográfiai protokollok. Részletesen tárgyaltuk a blokkrejtjele- 
zők használatának módjait (ECB, CBC, CFB, OFB, CTR). Megismerkedtünk a 
hitelesítési feladatok megoldásának lehetőségeivel: az üzenethitelesítő kódokkal, a 
digitális aláírással, és a partnerhitelesítő protokollokkal. Röviden összefoglaltuk a 
nyilvános kulcsok hitelesítésének módszerét, azaz a nyilvános kulcs infrastruktúra 
(PKD alapjait is. Foglalkoztuk továbbá a kulcscsere problémával, és a megoldás- 
ként használható kulcscsere protokollokkal. 

Végül a bemutatott módszerek gyakorlati alkalmazásait a valós életből vett 
példákon, a GSM és a Web biztonsági mechanizmusainak ismertetésén keresztül 
szemléltettük. Bemutattunk továbbá egy elektronikus kereskedelmi alkalmazást, a 
DigiCash elektronikus készpénz protokollt, mely szintén kriptográfiai építőeleme- 
ket használ. 
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Az érdeklődő olvasó a kriptográfia itt bemutatott fejezeteinek részletesebb tár- 
gyalását találja [3]-ban. Az angol nyelvű szakirodalomból ajánljuk Stinson tan- 
könyvét [6], Schneier könyvét [5], mely számos kriptográfiai algoritmus leírá- 
sát és C forráskódját tartalmazza olvasmányos formában, valamint Menezes, van 
Oorschot és Vanstone kézikönyvét [4], mely kimerítő jelleggel és matematikai ala- 
posággal tárgyalja a mérnöki gyakorlatban használatos kriptográfiai módszereket. 
A partnerhitelesítő és a kulcscsere protokollok részletes tárgyalását tartalmazza 
Boyd és Mathuria könyve [2], továbbá ezen protokollok tervezésével kapcsolatos 
hasznos tanácsokat találhatunk Abadi és Needham cikkében [11]. 
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Adattömörítés 


A 4. és 5. fejezetben a forráskódolásra fogunk koncentrálni. Feltételezzük, hogy 
a csatorna ideális, vagy másképp, a csatornakód olyan jó, hogy a forráskódolóból 
kilépő adatsorozat pontosan megegyezik a forrásdekódolóba belépő adatsorozattal. 

A forráskódolás lehet veszteségmentes és veszteséges. Veszteségmentes for- 
ráskódolás, vagyis az ún. adattömörítés esetében megköveteljük, hogy az eredeti 
forrásadatok pontosan helyreállíthatók legyenek. Veszteséges forráskódolás esetén 
csak annyit várunk el, hogy a dekódoló által visszaállított adatok valamilyen érte- 
lemben eléggé közel legyenek az eredetihez. Az adott alkalmazástól függ, hogy a 
kettő közül melyik módszert használjuk. Például egy szöveg tömörítésekor azt sze- 
retnénk, hogy a visszaállított szöveg ne tartalmazzon hibát. Egy kép tömörítésekor 
viszont megelégszünk azzal, ha a visszaállított kép látványa az eredetihez hasonló 
minőségű. 

Ebben a fejezetben bevezetjük a veszteségmentes adattömörítés fogalmát. En- 
nek célja az, hogy egy üzenetet, amely egy véges halmaz (forrásábécé) elemeiből 
álló véges sorozat, egy másik véges halmaz (kódábécé) elemeiből álló sorozattal 
reprezentáljunk úgy, hogy ez a sorozat a lehető legrövidebb (és belőle az üzenet 
visszaállítható) legyen. A legismertebb példa erre az, amikor a kódábécé a (0,1) 
halmaz, és egy üzenetet (pl. írott szöveg, fájl) bináris sorozatok formájában kódo- 
lunk tárolás, illetve átvitel céljából. 

Az első tömörítő eljárás a 19. század közepén Samuel F. B. Morse (1791-—1872) 
által kidolgozott Morse-kód volt. A távírón átküldött betűket ti—tá (rövid-—hosszú, 
mai szóhasználattal bináris) sorozatokkal kódolta. Morse észrevette, hogy mivel 
az ábécé egyes betűi gyakrabban fordulnak elő, mint mások, ha ezekhez rövidebb 
sorozatokat rendel, akkor ezzel lerövidítheti az üzenetek átküldéséhez szükséges 
időt. 

A tömörítés minőségét a tömörítési aránnyal jellemezhetjük, ami a tömörített 
hossznak és az eredeti adatsorozat hosszának az aránya. Mindenki számára világos, 
hogy a tömörítési aránynak, a tömöríthetőségnek van alsó határa. Az adattömörí- 
tés természettörvényét Claude E. Shannon (1916-2001) fedezte fel, amikor kiszá- 
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mította a tömörítési arány elvi alsó határát, a forrásentrópiát, és megadott olyan 
kódolási eljárásokat, amelyek ezt az elvi alsó határt elérik. 

A következő szakaszokban megismerkedünk az üzenetek egy természetesen 
adódó kritérium szerinti kódolásával — az egyértelműen dekódolható kódolással 
, mely később vizsgálataink középpontjában áll majd. Bevezetjük a diszkrét va- 
lószínűségi változó entrópiáját, és megmutatjuk, hogy az entrópia milyen alapvető 
szerepet játszik a kódolással kapcsolatban. Az elkövetkezőkben mindig azt tartjuk 
szem előtt, hogy az üzenetek kódja minél rövidebb legyen, ezért a kódok általunk 
vizsgált fő tulajdonsága az átlagos kódszóhossz lesz. A fejezetet az univerzális 
forráskódolással és annak gyakorlati alkalmazásaival zárjuk. 





4.1.  Prefix kódok 


Jelöljön X egy diszkrét valószínűségi változót, amely az X — (x1,x2 , . . . ,Xxn) véges 
halmazból veszi értékeit. Az X-et a továbbiakban véletlen betűnek, az X halmazt 
forrásábécének, elemeit pedig betűknek nevezzük. 

y jelöljön egy s elemű (y1,y2, . . . ,ys ) halmazt. Ezt kódábécének nevezzük. 4" 
jelölje az y elemeiből álló véges sorozatok halmazát. Y" elemeit kódszavaknak 
nevezzük. Egy 


f:XeYy 


4 4ZLZaz 2 


nak nevezünk. Az X elemeiből alkotott véges sorozatok az üzenetek vagy közle- 
mények (értékeiket az X" halmazból veszik). Amennyiben az f kód értékkészlete 
különböző hosszú kódszavakból áll, úgy változó szóhosszúságú kódolásról beszé- 
lünk. 


4.1. definíció. Az f : X — 47" kód egyértelműen dekódolható, ha minden vé- 
ges kódbetűsorozat legfeljebb egy közlemény kódolásával állhat elő, azaz ha u € 
XX", v E X", u — u... uk, V — VIV2...Vm, u Á V, akkor f(ui)f(uw) ...f(uxk) A 
f(v)f(v2) ...f(wm). (Itt az f(u)f(u) a két kódszó egymás után írását [konkate- 
náció] jelenti.) 


MEGJEGYZÉS: 


a) Az egyértelmű dekódolhatóság több, mint az invertálhatóság. Ugyanis legyen 
X — (a,b,c),4 — (0,1) és f(a) — 0, f(b) — 1, f(c) — 01. Ekkor az f : X — 
4" leképezés invertálható, viszont a 01 kódszót dekódolhatjuk f(a)f(b) — 01 
szerint ab-nek, vagy f(c) — 01 szerint c-nek is. 


b) Az előbbi definícióban szereplő kódolási eljárást, amikor egy közlemény kód- 
ját az egyes forrásbetűkhöz rendelt kódszavak sorrendben egymás után írásával 
kapjuk, betűnkénti kódolásnak nevezzük. Természetesen a kódolást teljesen ál- 
talánosan egy g : X — 9" függvénnyel is definiálhatnánk, de belátható, hogy 
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110 III 


4.1. ábra. Egy prefix kód kódfája 


a betűnkénti kódolás és annak természetes kiterjesztése, a blokk-kódolás ele- 
gendő számunkra, azaz a tömörítési arány minimuma elérhető blokkonkénti 
kódolással. 


c) Az egyértelmű dekódolhatóság végtelen sok eset ellenőrzését igényli, ezért a 
gyakorlatban használhatatlan követelmény. 


4.2. definíció. Az f kód prefi x, ha a lehetséges kódszavak közül egyik sem foly- 
tatása a másiknak, vagyis bármely kódszó végéből bármekkora szegmenst levágva 
nem kapunk egy másik kódszót. 


Egy prefix kód ábrázolható az ún. kódfával (4.1. ábra), amelynek levelei je- 
lentik az üzeneteket. A gyökértől a levelekig vezető éleken szereplő kódbetűket 
összeolvasva kaphatók meg a kódszavak. A prefix kódok egyben egyértelműen 
dekódolhatóak is, mivel egy adott kódszó karakterei a kódfa gyökerétől indulva 
egyértelmű utat jelölnek ki egy levélig, s ez lesz a dekódolt üzenet. 


Az eddig bevezetett fogalmak illusztrálására nézzük a következő példákat: 


4.1. példa. X — (a,b,cy; 9 — (0,1) A kód legyen a következő: f(a) — 0, f(b) — 
10, f(c) — 11. Könnyen ellenőrizhető, hogy a kód prefix. 

Ha az abccab üzenetet kódoljuk, akkor a 0101111010 kódbetűsorozatot kap- 
juk. A kódból az üzenet visszafejtése nagyon egyszerű a prefix tulajdonság miatt; 
többek között ez a gyors dekódolási lehetőség teszi vonzóvá a prefix kódokat. 


4.2. példa. X — (a,b,c,dt; 4y—(0,1); f(a) — 0, f(b) — 01, f(c) —OLI, f(d) — 
0111. Jól látható, hogy a kód nem prefix, de egyértelműen dekódolható, hiszen a 0 
karakter egy új kódszó kezdetét jelzi. 


Bebizonyítható, hogy minden egyértelműen dekódolható kódhoz létezik vele 
ekvivalens (azonos kódszóhosszú) prefix kód, tehát nem vesztünk semmit, ha az 
egyértelmű dekódolhatóság helyett a speciálisabb, és ezért könnyebben kezelhető 
prefix tulajdonságot követeljük meg. 


Kódolástechnika - 2006 - crysys web változat - 6. 


4.2. ÁTLAGOS KÓDSZÓHOSSZ, ENTRÓPIA 155 


4.2. Átlagos kódszóhossz, entrópia 


Legyen X egy X értékű valószínűségi változó, amit kódolni akarunk. Vezessük be 
a következő p : X — [0,1] függvényt: 


p(x) — P(X —x), xeEX. 


A p(x) függvény tehát az x forrásbetűhöz annak valószínűségét rendeli. 


Cedia 


D7- 


H(X) — E(-logp(x)) —— 2, plxi) log p(xi) 


i—1 


összeggel defi niáljuk. 


MEGJEGYZÉS: Alogz jelölés a z pozitív szám kettes alapú logaritmusát jelenti. 
Mivel a 4.3. definíció megkívánja, a logaritmusfüggvénnyel kapcsolatban a követ- 
kező , számolási szabályokat" vezetjük be (a 2 0,b 5 0): 


0 a b 0 
010g— —010g— — 0; blog — — os; blog— — —oo. 
087 087 0989 Ay 087 


(E szabályok az adott pontban nem értelmezett függvények folytonos kiterjeszté- 
sei.) A definícióból közvetlenül látszik, hogy az entrópia nemnegatív. Vegyük 
észre, hogy az entrópia értéke valójában nem függ az X valószínűségi változó ér- 
tékeitől, csak az eloszlásától. 


4.4. definíció. Egy f kód átlagos kódszóhosszán az 
n 
ELFG)I— E.PGDLfCO] 
i—1 
várható értéket értjük. 
4.3. példa. A 4.1. példa kódja esetén legyen p(a) — 0.5, p(b) — 0.3, p(c) — 0.2, 
ekkor az entrópia 


H(X) — —0.5 :10g0.5 — 0.3 -10g0.3 — 0.2 -10g0.2 s 1.485, 
az átlagos kódszóhossz pedig 
Elf(X)I—0.5-1--0.3-2-7-0.2-2— 1.5. 
Bebizonyítható, hogy az entrópiával alsó korlát adható az átlagos kódszóhosszra: 


4.1. tétel. Tetszőleges egyértelműen dekódolható f : X — 3" kódra 


s HO) 


ELFGOI2 ege 4.D 
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Az entrópia néhány tulajdonsága: Legyenek X és Y valószínűségi változók, 
amelyek a véges X illetve y halmazból veszik értékeiket. 


4.2. tétel. 


2 4 al 


a) Ha az X valószínűségi változó n különböző értéket vehet fel pozitív valószínű- 
séggel, akkor 
0 La H(X) £ logn, 


és a bal oldalon egyenlőség akkor és csak akkor áll fenn, ha X 1-valószínű- 
séggel konstans, a jobb oldalon pedig akkor és csak akkor, ha X egyenletes 
eloszlású, azaz p(x;) — §, i— 1,... ,n. 


b) X ésY diszkrét valószínűségi változókra 
H(X,Y) S H(X) HW), 


és az egyenlőség szükséges és elégséges feltétele X ésY függetlensége. (H(X,Y ) 
az (X,Y) valószínűségi változópár együttes eloszlásához rendelt entrópiát je- 
löli.) 


c) Az X tetszőleges g(X) függvényére 
H(8(X)) S H(X), 


és itt az egyenlőség szükséges és elégséges feltétele az, hogy g invertálható 
legyen. 


4.3.  Shannon-Fano-kód 


Miután láttuk, hogy egy X valószínűségi változó egyértelműen dekódolható kódjá- 
nak átlagos kódszóhosszára a Alesi mennyiség alsó korlátot ad, most megmutatjuk, 
hogy prefix kóddal ezt a korlátot jól meg lehet közelíteni. 

A Shannon-Fano-kód kostrukciójához feltehetjük, hogy 


p(x1) 2 pa) 2: 2 p(xn-1) 2 P(x) 5 0, 


mert különben az X elemeinek átindexelésével elérhetjük ezt. A konstrukció tech- 
nikája miatt felhasználjuk az yy F i— 1, i— I, . . . s megfeleltetést. Legyenek a w; 
számok a következők: 


i—1 
wi —0, w— Ep), LE2 esz 
1—1 


Kezdjük a wj számokat felírni 5-alapú számrendszerbeli tört alakban. A wj-hez 
tartozó törtet olyan pontosságig írjuk le, ahol az először különbözik az összes többi 
wi, i A j szám hasonló alakbeli felírásától. Miután ily módon n darab véges hosszú 
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XI , 42. X3,X4,X5 


[0 1 





4.2. ábra. A 4.4. példa Snannon-Fano-kódjának előállítása 


törtet kapunk, az f(xj) legyen a w -hez tartozó tört az egészeket reprezentáló nulla 
nélkül. 

A Shannon-Fano-kódot előállíthatjuk egy másik algoritmussal is. Osszuk fel 
a szimbólumok valószínűségeinek csökkenő sorozatát két részre úgy, hogy a so- 
rozat első felében lévő valószínűségek összege és a sorozat második felében lévő 
valószínűségek összege a lehető legkevésbé térjen el egymástól. Legyen az első 
részben lévő szimbólumok kódszavának első bitje 0, a második részben lévőké pe- 
dig 1. Ezután alkalmazzuk ezt az eljárást rekurzívan az első és a második részben 
lévő szimbólumokra, s így megkapjuk a kódszavak további bitjeit. Az algoritmus 
akkor ér véget, ha már minden részben csak egyetlen szimbólum szerepel. 


4.4. példa. Legyenn— 5 és p(x1) — 0.35, p(x2) — 0.2, p(x3) — 0.2, p(x4) — 
0.15, p(x5) — 0.1 és y — (0,1). Keressük meg az ehhez tartozó Shannon-Fano- 
kódot. Használjuk a második algoritmust. A valószínűségek két részre osztása után 
az első részben az xi és x2 szimbólumok lesznek (p(x1 ) 4 p(x2 ) — 0.55), a második 
részben pedig az x3,x4 és xs szimbólumok (p(x3) -- p(xa) t- p(xs) — 0.45). Így az 
xi és x2; szimbólumok kódszavának első bitje 0, míg az x3, x4 és xs szimbólumoké 
1 lesz. Az xi és x2 részt kettéosztva elkészültünk ezek kódszavaival: az x1-é 00, 
az x2-é pedig 01 lesz. A második részt ismét kettéosztva az xz3 egyedül marad, így 
ennek kódszava 10, az x4 és xs kódszavát pedig egy újabb kettéosztás után kapjuk: 
x4 kódszava 110, míg x5-é 111 lesz. 


Könnyedén belátható, hogy az így kapott kód prefix, mivel kódfával ábrázol- 
ható. 


4.3. tétel. Létezik olyan f : X — 9" prefi x kód, mégpedig a Shannon-Fano-kód, 
amelyre 
H(X) 


Elf(X eezggeszzezláa BE 
FOL etet 
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Blokk-kódolás 


A betűnkénti kódolásnak van egy természetes általánosítása, a blokk-kódolás. 
Ezt formálisan egy f : X" c y" leképezéssel definiálhatjuk, ahol tehát a forrásábé- 
cé betűiből alkotott rendezett m-eseket tekintjük forrásszimbólumoknak és ezeknek 
feleltetünk meg kódszavakat. A helyzet tulajdonképpen nem változik a betűnkénti 
kódolás esetéhez képest, hiszen egy új X forrásábécét definiálhatunk az X — XM 
jelöléssel, és az eddig elmondottak mind érvényben maradnak. Az egyértelmű de- 
kódolhatóság definíciója ugyanaz marad, mint a betűnkénti kódolás esetében, az 
előbbieket szem előtt tartva. Legyen X — (X1, . . . , Xn) egy valószínűségi vektor- 
változó, melynek koordinátái az X-ből veszik értékeiket. Az entrópia 4.3. definí- 
ciójából jól látszik, hogy az csakis az eloszlástól függ. Mivel X is csak véges sok 
különböző értéket vehet fel, a 4.3. definíciót közvetlenül alkalmazhatjuk. Az X 
entrópiája tehát a 


p(x) — p(x1,....Xxm) — P(Xi 7 XI... ,Xm —Xxmb), X1....,Xm EX, 
jelölést bevezetve a következő: 


H(X)—— ) p(o)logpíx) — 


xeXxT 
SZET ) Pl 03 P (XI: m) log p(xa , . . Xm). 
xeXx xmeX 


Az X — (XI, . . . .Xm) entrópiájára a H(X) jelölés mellett, ahol ez a célszerűbb, 
gyakran a H(X7, . . . , Xn) jelölést fogjuk használni. 

A betűnkénti átlagos kódszóhossz definíciója értelemszerűen módosul a blokk- 
kódolás esetében: a kódszóhossz várható értékét el kell osztani az egy blokkot al- 
kotó forrásbetűk számával, vagyis a betűnkénti átlagos kódszóhosszon a következő 
mennyiséget értjük: 





1 1 
—EI(X)I—— 2 PCIIF09] 
Hz Ms exm 
Értelemszerűen a 4.1. tétel állítása blokk-kódolás esetén is igaz: 
1 1H(X) 
—Ex/6OIZS 
m logs 


Másrészről a 4.3. tételből következik, hogy a Shannon-Fano-kódra 


1 
Ch egz 
m logs m 
Az m blokkhossz növelésével általában javul az adattömörítés hatékonysága, 
azaz csökken az egy betűre jutó átlagos kódszóhossz. Példaként tekintsük az iro- 
dalmi angol szöveg tömörítésének problémáját. Csak a kis betűket és a legfonto- 
sabb írásjeleket megtartva kaphatunk egy 32 elemű ábécét, vagyis tömörítés nélkül 
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egy betűt 5 bittel tudunk reprezentálni. Ha becsüljük az Xi eloszlását, akkor a 
H(X1)-re körülbelül 4.03 adódik, tehát m — 1 esetén a Snannon-Fano-kódra a 


4.03 £ EIf(X.I £ 4.03 1 — 5.03 


adódik, ami még nem előrelépés a tömörítetlen 5 bithez képest. m — 2 esetén 
H(X1,X2)/2 5 3.32, tehát 


1 1 
3.32 £ -Elf(X1.X2)I S 3.32-- 5 — 3.82, 


m — 3 esetén ű 
31c 3EL/(X1.X2,X3)I £ 3.43, 


és m — 4 esetén ű 
2.8 c zElJ(X1.22,X3,X4) I £ 3.05. 


4.5. definíció. Az X információforrást az X1,X2,... valószínűségi változók vég- 
telen sorozatával modellezzük, azaz a forrás az i-edik időpillanatban az X; je- 
let bocsátja ki. Az X; valószínűségi változók mindegyike ugyanabból a véges 
X — (xi, . . . xn) halmazból, a forrásábécéből veszi az értékét. Az X forrást sta- 
tisztikai tulajdonságaival jellemezzük, vagyis adottnak vesszük, ha minden véges 


dimenziós eloszlását ismerjük. 


sz térz ő 4 414 4 Tf 

Információforrások egy tág osztályára megmutatható, hogy az —-H(X , . . . ,Xm) 
betűnkénti entrópia monoton csökken, tehát az m növelésével az alsó határ csök- 
ken. 


Markov-láncok 


A következőkben egy olyan struktúrát, az ún. Markov-láncot ismerjük meg, 
amellyel hatékonyan leírhatók egyes redundáns karaktersorozatok, és szemléltet- 
hető a blokkonkénti kódolás hatékonysága. 

Az X1,X2 , . . . valószínűségi változók Markov-láncot alkotnak, ha 








P(X, Xk ] XI X1,X2 Xs , Xk—1 Xr-1b P(X, Xk ] Xk-1 —— XxXx-1) (4.2) 








minden k 2 2-re és minden lehetséges x1,Xx2,...,xx sorozatra. A X; értékeit a 
Markov-lánc állapotainak, az állapotok X halmazát pedig a Markov-lánc állapot- 
terének nevezzük. Feltesszük, hogy IXI — co, vagyis az állapottér véges. Az 
X1,X2, . . . Markov-lánc homogén, ha az ún. egylépéses átmenetvalószínűségek nem 
függenek a változók indexétől, vagyis 


P(X, 7 XxX2 ] Xk-1 — xi) — P(X 7 XxX2 ] XI — xi) 


minden x1,x2 € X-re és minden k 2 2-re. 
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pW]5) 


4.3. ábra. Egy fekete-fehér kép Markov-lánc modellje 


Egy Markov-lánc eloszlása az alábbi láncszabály alapján megadható a kezdeti 
eloszlás és az egylépéses átmenetvalószínűségek segítségével: 


PIX EX XI EXILE 
— P(Xn — xm I Xm-1 — Xm-1, . . . ,X1 — xi)" P(X2 — x2 [XI — x11P(XI —x1) — 
— P(Xn 7 Xm ] Xm-1 —Xxm-1b: "P(x 7 X2 ] XI — x1)P(Xi — xi) - 


tm [To I xi 1)D(Cx1). 


A P(X,4 — x2 I X4-1 — x1 ) átmenetvalószínűségek ismeretében a Markov-mo- 
dell jól használható szövegek és képek tömörítésére. Angol nyelvű szövegek entró- 
piájának meghatározására elsőként Shannon végzett kísérleteket. A nyelvi redun- 
danciát modellezte Markov-láncokkal. A 26 betűs angol ábécét használó szöve- 
gek esetén másodrendű Markov-lánc modell használatával 3.1 bit/betű tömörítési 
arányt ért el. Ez 2.4 bit/betű-re szorítható le, ha betűk helyett szavak szerepelnek 
a modellben. Az angol nyelv entrópiájának becslésére Shannon kísérleti szemé- 
lyeket is alkalmazott a statisztikai modellek helyett. A résztvevőknek a szöveg 
aktuális betűjét kellett kitalálniuk a megelőző 100 betűs környezet alapján. Így 
alsó határnak 0.6 bit/betű, míg felsőnek 1.3 bit/betű adódott. Minél hosszabb kör- 
nyezetet vizsgálunk, annál jobb a jóslás eredménye, azonban a környezet hosszával 


F-atts dl 4 


exponenciálisan növekszik a lehetséges megelőző állapotok száma. 


4.5. példa. Egy fekete-fehér kép sorait modellezzük egy (X;) homogén Markov- 
lánccal a 4.3. ábrán látható módon. A v állapot jelöli azt, hogy az aktuális képpont 
világos, míg az s, hogy sötét. p(v) a világos, p(s) a sötét képpont kezdeti való- 
színűsége. Az átmenetvalószínűségek közül például p(v ] s) jelenti annak az ese- 
ménynek a valószínűségét, amikor egy sötét képpont után egy világos következik. 


Számítsuk ki egy tetszőleges Markov-lánc entrópiáját: 


H(X1, . . ..Xm) — — )3 P(x, . . .,Xm) log p(x1, . . . ,Xxm) — 
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E ) ple..szuJ tos TT pls I xi—1)p(x1) — 


XI 5... Xm 
m 
7 -y ) P(x... Xm) log pl ] xi— 1) 
IODXT sík 
Hu ) P(x, - sk , Xm) log p(x1) szt 
XI... Xm 
m 
— -E ) P(xi-1, xi) log p(s ] xi— 1) — Ep logp(xi) — 
1—2Xi—1 Xi XI 
— —(m—1) FE plxi.xo)logp(xa lx)— Épt logplx) — 
XIX2 XI 


- (m — 1)H(X2 ] X1) 3H(X1). 
A — E p(xi,xo)logp(x2 I xi) mennyiséget feltételes entrópiának nevezzük, és 
XI.X2 


H(X. I X1)-gyel jelöljük. A betűnkénti entrópia ekkor így alakul: 


1 1 m—1 
—H(X1,. . . ,Xm) —- —H(X1) FF — H(X; IX). 
m m m 


Nagy m blokkhossz esetén az első tag elhanyagolható, ezért a betűnkénti entrópia 
közelítőleg megegyezik a H(X. I X1) feltételes entrópiával. 


4.6. példa. Legyenek a 4.5. példa valószínűségei a következőek: 
p(s]s5)— 0.77, p(vIs5)— 0.23, p(s]v)— 0.02, p(v]v)— 0.98 
Megmutatható, hogy ha 
p(s) — 0.08,  p(v) — 0.92, 
akkor a Markov-lánc azonos eloszlású. Ennek az eloszlásnak az entrópiája: 
H(X1) — —0.9210g0.92 — 0.0810g 0.08 — 0.402 


Ugyanez a modellünk szerint: 


H(X21X)—-— EN pt IxDp(x)logp(x2 I x1) — 


— —p(s ] s)p(sJlogp(s 15) — p(v I s)p(sJ log p(v I 5) 
—pls I9pwlogp(s 1v—p(v [vp(w)logp(v I v) — 
— —0.77:0.08 -10g0.77 — 0.23 - 0.08 - log 0.23 
—0.02 0.92 .10g0.02 — 0.98 . 0.92 .10g0.98 — 
— 0.192 


Látható, hogy kevesebb, mint a felére csökkent az entrópia az átmenetvalószínűsé- 
gek ismerete miatt. 
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4.4. Optimális kódok, bináris Huffman-kód 


A 4.1. tétel alsó korlátot ad az egyértelműen dekódolható kódok átlagos kódszóhosz- 
szára, a 4.3. tétel pedig mutat egy olyan kódkonstrukciót, ahol ezt a korlátot jól 

megközelíthetjük. A jó kód konstrukciójának problémáját persze ennél általáno- 

sabban is felvethetjük: konstruáljuk meg az optimális, azaz legkisebb átlagos kód- 

szóhosszú kódot, ha adott az X valószínűségi változó eloszlása. Először is gon- 

doljuk át, hogy optimális kód valóban létezik. Ugyan véges kódábécé esetén is 

az egyértelműen dekódolható vagy prefix kódok halmaza végtelen, de a bizonyos 

átlagos kódszóhossznál (pl. ez - 1) jobb kódok halmaza véges. Másodszor, ve- 
gyük észre, hogy az optimális kód nem feltétlenül egyértelmű; egyenlő valószí- 
nűségekhez tartozó kódszavakat felcserélhetünk, csakúgy, mint az egyenlő hosszú 
kódszavakat, anélkül, hogy az átlagos kódszóhosszat ezzel megváltoztatnánk. 

Egy optimális egyértelműen dekódolható kód konstruálását egy optimális pre- 
fix kód konstruálására lehet visszavezetni. Ezért a következőkben kimondjuk az 
optimális prefix kódok néhány tulajdonságát. A továbbiakban az egyszerűség ked- 
véért a bináris, s — 2 esettel foglalkozunk; feltesszük, hogy y — (0,1). Az általá- 
nos, s 5 2 eset bonyolultabb, és a dolog lényege így is jól látható. 





4.4. tétel. Ha az f : X — (0,1)" prefix kód optimális, és X elemei úgy vannak 
indexelve, hogy p(x1) 2 p(x2) 2 "2 p(xn-1) 2 p(xn) 5 0, akkor feltehető, hogy 
f-re a következő három tulajdonság teljesül: 


a) IfGDI S IFI S::" S If(xn—)I £ If(xn)l. vagyis nagyobb valószínűségek- 
hez kisebb kódszóhosszak tartoznak. 


b) If(xn-1)1— If(xn)L. vagyis a két legkisebb valószínűségű forrásbetűhöz tartozó 
kódszó egyenlő hosszú. 


c) Az f(xn-1) és az f(xn) kódszavak csak az utolsó bitben különböznek. 


4.5. tétel. Tegyük most fel, hogy a 4.4. tétel feltételei teljesülnek, és hogy a (p(x1), 
P(x2), . . .p(xn-1) 4 p(xn) ) valószínűségeloszláshoz ismerünk egy g optimális bi- 
náris prefix kódot. (Az x.-1 és xn forrásbetűket összevonjuk egy Xn-1 szimbó- 
lumba; p(xn-1) — p(xn-1) HF p(xn) ). Ekkor az eredeti (p(xi1), p(x2), . . . ,  (xn-1); 
p(xn) ) eloszlás egy optimális f prefi x kódját kapjuk, ha a g(x, 1) kódszót egy nul- 
lával, illetve egy egyessel kiegészítjük (a többi kódszót pedig változatlanul hagy- 
juk). 


2 


Az előző tétel alapján már megadhatjuk az optimális prefix kód Huffman-féle 
konstrukcióját: A két legkisebb valószínűség összevonásával addig redukáljuk a 
problémát, amíg az triviális nem lesz, vagyis amíg összesen két valószínűségünk 
marad. Ezt n — 2 lépésben érhetjük el. Ezután az összevonások megfordításával, 
mindig a megfelelő kódszó kétféle kiegészítésével újabb n — 2 lépésben felépít- 
jük az optimális kódot, a Huffman-kódot. Vegyük észre, hogy ez egy ún. mohó 
algoritmus, azaz az egyes lépésekben mindig lokálisan optimális döntést hoz. 
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1 0 
01 


10 110  1II 


4.4. ábra. A 4.7. példa Huffman-kódjának előállítása 


A Huffman-kód prefix, ezért azt bináris faként is ábrázolhatjuk. A leveleket 
a forrásszimbólumokkal címkézzük, az éleken pedig a kódábécé ((0,1)) elemei 
szerepelnek. A csúcsokban a szimbólumok valószínűségei állnak. Egy forrás- 
szimbólumhoz tartozó kódszót úgy kapunk meg, hogy a fa gyökerétől a megfelelő 
levélig húzódó út élein szereplő kódbetűket sorban összeolvassuk (konkatenáljuk). 
A Huffman-kódolás szemléletesen úgy történik, hogy kiindulásként felvesszük a 
forrásszimbólumokhoz tartozó leveleket, a csúcsokba a forrásszimbólumok való- 
színűségeit írjuk, majd lépésenként mindig a két legkisebb értéket tartalmazó csúcs 
fölé teszünk egy új csúcsot (szülőt), s ebbe a két régi érték összegét írjuk. Az el- 
járás végén kialakul az összefüggő fa, melynek a legutolsó lépésben megkapott 
csúcsa lesz a gyökér. 


INPUT: lista-(az n féle szimbólumnak megfelelő 
izolált csúcsok) 


FOR i-1 to n-1 
csúcs-Csúcsot Felveszc() 
csúcs.bal-Legkisebb Értékű Csúcsot Kivesz(lista) 
csúcs. jobb-Legkisebb Értékű Csúcsot Kivesz(lista) 
csúcs.valószínűség— 

(csúcs.bal) .valószínűségt (csúcs. jobb) . valószínűség 
Beilleszt (lista, csúcs) 
ENDFOR 
RETURN Legkisebb Értékű Csúcsot Kivesz(lista) 





























A következő példában nyomon követhetjük az algoritmus egyes lépéseit. 


4.7. példa. Legyenn— 5 és p(x1) — 0.35, p(x2) — 0.2, p(x3) — 0.2, p(x4) — 
0.15, p(xs5) — 0.1, és keressük meg az ehhez tartozó Huffman-kódot. A 4.4. ábra 
bal oldalán az egyes lépéseket az összevonásokat jelölő nyilak melletti sorszámo- 
zással szemléltettük. A 0.4 és 0.6 valószínűségek optimális prefix kódja nyilván 
a 0 és az 1 (vagy fordítva). Az összevonások megfordításával elvégezhetjük a 
Huffman-kód felépítését. A 4.4. ábra jobb oldalán a lefelé mutató nyilakon feltün- 
tettük, hogy az adott lépésben hogyan különböztettük meg a kódszavakat a 0 vagy 
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az l bit hozzárendelésével. Végül a bináris fa gyökerétől indulva és a levelekig 
szintenként lefelé haladva kiolvashatjuk az így kapott kódszavakat, amelyeket a 
levelek alatt is feltüntettünk. Tehát f(xi1) — 10, f(x2) — 00, f(x3) — 01, f(x4) — 
110, f(x5) — 111. 


A bemenet néhány speciális eloszlása esetén azonnal meg tudjuk adni a Huff- 
man-kódot, az algoritmus tényleges lefuttatása nélkül is. 


4.8. példa. A bemenet ún. diadikus eloszlása esetén, vagyis amikor az egyes szim- 
bólumok valószínűségei a 2 negatív egész kitevős hatványaiként írhatók fel 


pkgy—2 "5, aceZ, 


az egyes kódszavak c hosszúak, így az átlagos kódszóhossz 


n 


EIf(XII — bp (xplfC)l zzz —log p(x;)) -Er Ti OL; . 
i-1 i—1 
4.9. példa. A bemenet egyenletes eloszlása, azaz 
1 
P(x) — vi 


esetén a kódszavak hossza k vagy k— I, ahol k — [log]. A Huffman-algoritmus a k 
hosszú kódszavak számát a lehető legkisebbre választja meg. Ezt legegyszerűbben 
úgy kaphatjuk meg, ha kiindulunk egy k— 1 mélységű teljes bináris fából, és ennek 
néhány leveléhez további 2-2 csúcsot kapcsolunk a k-adik szinten. Egy levél ily 
módon való kettéágaztatása eggyel növeli a levelek, s ezzel együtt a kódszavak 
számát. Ennek eredményeként 2n — 2" darab k hosszú és 2" — n darab k— 1 hosszú 
kódszót kapunk. 


Mivel a Huffman-kód optimális, azaz a legkisebb átlagos kódszóhosszú pre- 
fix kód, ezért a 4.3. tétel miatt az átlagos kódszóhossza az entrópiánál legfeljebb 
1 bittel nagyobb. Valójában ennél erősebb állítás is igaz: a Huffman-kód átlagos 
kódszóhossza az entrópiánál legfeljebb Dmax -1- 0.086 értékkel nagyobb, ahol Dmax 
a leggyakoribb szimbólum valószínűsége. A gyakorlatban, nagy bemeneti ábécé 
esetén pmax értéke kicsi, így a Huffman-kód átlagos kódszóhosszának eltérése az 
entrópiától szintén kicsi, különösen ha az eltérést az entrópia arányában nézzük. 
Ugyanakkor kis ábécéméret és nagyon eltérő valószínűségek esetén pmax, S Így 
az átlagos kódszóhossz entrópiától való eltérése is meglehetősen nagy lehet. Ezen 
részben segíthetünk a blokk-kódolással, de sajnos ez újabb problémák forrása le- 
het. 


4.10. példa. Tegyük fel, hogy a bemeneten kapott tömörítendő adatsorozat karak- 


terei egy háromelemű ábécéből veszik fel az értékeiket, és az egyes szimbólumok 
egymástól függetlenül a következő eloszlás szerintiek: 


p(x1) — 0.95,  p(x2) — 0.03,  p(x3) — 0.02. 
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Ekkor a bemenet entrópiája 0.335 bit/szimbólum, míg a betűnkénti Huffman-kód 
átlagos kódszóhossza 1.05 bit/szimbólum, amely az entrópia 21390-a. Ha két-két 
szimbólum alkotta blokkra végezzük el a Huffman-kódolást, akkor 0.611 bit/szim- 
bólum átlagos kódszóhosszat kapunk. Ezt folytatva egészen 8 szimbólum méretű 
blokkokig kell elmennünk ahhoz, hogy az átlagos kódszóhossz és az entrópia kü- 
lönbsége elfogadható értékre csökkenjen. Vegyük észre, hogy ehhez 38 — 6561 
elemű ábécé tartozik. Ilyen nagy méretű kódok alkalmazása több szempontból is 
előnytelen. Egyrészt már a kód tárolása (illetve a vevőhöz való átküldése) is sok 
helyet foglal. Másrészt sok időt és erőforrást igényel a dekódolás. Harmadrészt, 
ha egy kicsit is megváltozik a szimbólumok valószínűsége, az jelentősen ronthatja 
a kód hatékonyságát. 


Láthatjuk, hogy sokkal hatékonyabb, ha blokkokat kódolunk egyes szimbólu- 
mok helyett. Minél nagyobb blokkméretet választunk, annál kisebb lesz a veszte- 
ség. Ugyanakkor a Huffman-kód nagy blokkméret esetén a gyakorlatban kevésbé 
alkalmazható. Egyrészt a kódszó elküldése csak a teljes m hosszú blokk beolvasása 
után lehetséges, és emiatt nagy m esetén jelentős késleltetés keletkezhet. Másrészt 
m hosszú blokkok Huffman-kódolásához az összes lehetséges m-hosszú sorozathoz 
tartozó kódszót elő kell állítanunk, ami a kód méretének exponenciális növekedését 
jelenti, és ez praktikus szempontból is korlátot állít m növelése elé. Olyan eljárásra 
van szükségünk, amely az egyes blokkokhoz úgy rendel kódszavakat, hogy közben 
nem kell meghatároznunk az összes többi ugyanolyan hosszú blokk kódszavát. Ezt 
a követelményt teljesíti a 4.5. szakaszban ismertetett aritmetikai kódolás, amelyet 
kifejezetten blokkonkénti kódoláshoz alkalmaznak. Jellegzetessége, hogy valós 
időben történik a kódszó előállítása és visszafejtése, tehát nem lép fel jelentős kés- 
leltetés, akármilyen hosszú blokkokat is kódolunk. 


4.5.  Aritmetikai kódolás 


Az aritmetikai kódolás a Shannon-Fano-kód természetes kiterjesztése. Alapöt- 
lete, hogy a valószínűségeket intervallumokkal ábrázolja, amihez a valószínűségek 
pontos kiszámítása szükséges. Egyetlen kódszót rendel a bemeneti adathalmaz egy 
blokkjához, vagyis blokkonkénti kód. Egy kódszó a [0, 1) intervallum egy jobbról 
nyílt részintervallumának felel meg, és megadása annyi bittel történik, amennyi 
már egyértelműen megkülönböztethetővé teszi bármely más részintervallumtól. A 
rövidebb kódszavak hosszabb intervallumokat, vagyis nagyobb valószínűségű be- 
meneti blokkokat kódolnak. A gyakorlatban a részintervallumokat fokozatosan 
finomítjuk a blokk szimbólumainak valószínűségei szerint, és mihelyt eldől a ki- 
menet egy bitje (elegendően kicsi lesz az intervallum aktuális hossza), továbbítjuk 
azt. 

Az aritmetikai kódolást ideális, azaz végtelen pontosságú lebegőpontos aritme- 
tikával mutatjuk be. A gyakorlatban természetesen csak véges pontosságú aritme- 
tikák léteznek, de a módszer ezeken is implementálható. 
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A kódoló működése a következő. Induláskor az aktuális [Eo, Vo) intervallum- 
nak a [0, 1) intervallumot vesszük. Ezután minden egyes bemeneti szimbólumot két 
lépésben kódolunk. Először tovább osztjuk az aktuális (Ex, V4) intervallumot disz- 
junkt részintervallumokra úgy, hogy ezek közül egy-egy a szimbólum lehetséges 
értékeinek feleljen meg. A részintervallumok hosszát a szimbólumértékek felté- 
teles valószínűségével arányosnak választjuk meg. Az ily módon partíciót alkotó 
részintervallumok közül azt választjuk, amelyik a szimbólum ténylegesen előfor- 
duló értékének felel meg, és ezután ez lesz az új aktuális [Ex , Vx4-1 ) intervallum. 

Valójában nem szükséges egy-egy szimbólum esetén az összes részinterval- 
lumot meghatároznunk, elegendő a szimbólum tényleges értékének megfelelőre 
szorítkoznunk. Ehhez kumulatív valószínűségeket vezetünk be, a k-adik bemeneti 
szimbólum feldolgozásához annak i-edik lehetséges értéke esetén a 


0, hai— 0, 


wt :z i—1 


j 2 PC xan), halCicn 
sz 


valószínűséget, ahol Xg , . . . , (o, , az eddig már feldolgozott k— 1 bemeneti szim- 
bólumot jelöli. Az [Er-1,V4-1) aktuális intervallum esetén, ha a bemeneten az 
i-edik lehetséges szimbólumérték érkezik, akkor az új (Ex, V4) intervallum a követ- 
kező: 


Ep — Exei Fwi(V4n1— Ero), Vk— Ex (wf- p(x))(Vx-i — Ex1): 


Látható, hogy a végül így kialakuló intervallum egyértelműen meghatározza a tel- 
jes egymásba skatulyázott intervallumsorozatot, és emiatt belőle a teljes blokk 
visszafejthető. Az intervallum hossza a bemeneten érkezett szimbólumok felté- 
teles valószínűségeinek szorzata, azaz a blokk valószínűsége. Az utolsó interval- 
lumot kódoljuk tehát, de a gyakorlatban nem az intervallum alsó és felső határa, 
hanem annak egy tetszőlegesen választott eleme adja a kódszót. Ebből is visz- 
szaállítható ugyanis az üzenet. Célszerű az intervallumból a lehető legkevesebb 
bittel leírható elemet kiválasztanunk. Belátható, hogy az x üzenetblokkhoz tartozó 
intervallumból alkalmasan kiválasztott elem leírásához elegendő [og 9] -I1 bit. 
Ebből megkapható, hogy egy m hosszú blokkhoz tartozó kódszó hosszának várható 
értékére, azaz az átlagos kódszóhosszra igaz a következő: 


EIf(XI 2 e(Irszoo] 1) Hi 
- Ep( ) 1087 agit 


c EpG fevatői Jaz 


7 7ER szi FEpG) 
H(X) 4 
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Az aritmerikai kód átlagos kódszóhosszára tehát rosszabb korlátunk van, mint 
a Shannon-Fano-kód esetén. Ennek az az oka, hogy nem rendezzük sorba minden 
lépésben a szimbólumokat a feltételes valószínűségeik szerint csökkenő módon. 

Ha az X üzenetvektor komponensei független azonos eloszlásúak, akkor a wki 
valószínűségek nem függenek k-tól, és a kiszámításukhoz sem kell feltételes való- 
színűségeket használnunk: 


0, hai—0, 
w;:— 4 i-1 

Y p(xj), hal Si£n 

j-1 


Ekkor H(X) — mH(X1), tehát a betűnkénti átlagos kódszóhosszra 
1 2 
—EIT(X)I S H(X1) 4 —, 
m m 


azaz az m blokkhossz növelésével tetszőlegesen megközelíti H(X1)-et. Fontos, 
hogy ellentétben a blokkonkénti Huffman-kódolással itt a bonyolultság nem nő a 
blokkok hosszának növelésével. 

Az alábbiakban az aritmetikai kódoló független azonos eloszlású bemeneti 
szimbólumokra működő pszeudokódját adjuk meg. Annyiban egyszerűsítjük a 
megoldást, hogy az algoritmus a végső intervallumból nem feltétlenül a lehető leg- 
kevesebb bittel ábrázolható elemet választja ki. 

INPUT: xI ]-ítömörítendő blokk) 

n-ítömörítendő blokk hossza) 

pl ]-(í(szimbólumok valószínűségei) 

wI ]-(szimbólumok kumulált valószínűségei) 





OUTPUI: c-(kódszó) 


Lt 


—0 

hossz-1 

FOR i-0 to n-1 
EB-EthosszzwI[x[i] 
hossz-hosszzpl[xI[i]] 
ENDFOR 
méret-FelsőEgészRész(-1log(hossz))11 
c-FelsőEgészRész (ExHatvány (2, méret) ) 
RETURN c 






































A dekódoló pszeudokódja pedig a következő: 


INPUTIT:  c-(kódszól) 
n-ídekódolandó blokk hossza) 
pl ]-íszimbólumok valószínűségei) 





wI ]-(szimbólumok kumulált valószínűségei) 
FI ]-(forrásábécé) 
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1 5 
0 hi Z 1 
1 5 
2 6 
1 2 
2 3 


4.5. ábra. Az intervallum felosztása aritmetikai kódolás során 


OUTPUT: x[ ]-ídekódolt blokk)? 


FOR i-0 to n-1 
j-1 
WHILE ccw[(F[j]] 
j4-k 
ENDWHILE 
xI41-ELj-17 
c—-(c-wIx[il])/plxlil] 
ENDFOR 
RETURN x 




















4.11. példa. Tegyük fel, hogy a bemeneti szimbólumok független azonos eloszlá- 
súak, és háromféle értéket vehetnek fel. Eloszlásuk és az ehhez tartozó kumulatív 
valószínűségek a következők: 


p(a)— 5 wi —0, 
p(x2) — 3; w2— 3, 
p(x3)— 2 wz — 3. 


Kódoljuk aritmetikai kódolóval az x2 , xi, x3 sorozatot. A kezdeti intervallum az 
(Eo, Vo) — [0, 1) 


(alsó indexszel az eddig már feldolgozott szimbólumok számát jelöljük). Az első, 
vagyis az x; szimbólum után három részre vágjuk az intervallumot, és a középső 
részt választjuk ki (4.5. ábra), tehát 


(E1,V1) — [10--5(1—0), 0-4 (3-3) (1—0)) — [3.5) 


Ismét három részre osztjuk az aktuális intervallumot, s mivel a második szimbólum 
az xi, így az első részintervallumot választjuk: 


Ev) 30840 (8-0). 
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Végül a harmadik részintervallumokra bontás után az xz3 szimbólumot a három 
közül az utolsó intervallummmal kódoljuk, tehát 
Te ő- ree dg dee t5ety id AN) ef 2 
[Es,V3)— [345 (3— 2). 24(ő4 6) (8— 2) — [550 

Láthatjuk, hogy az [E3 , V3 ) intervallum hossza valóban megegyezik a szimbólumok 
valószínűségeinek szorzatával, azaz a p(x2)p(xi)p(x3) — zz értékkel. Ebből rögtön 
felső becslést is adhatunk a kimenet hosszára: [—1og ze] 42 — 7 bit. A kimenet 
előállításához írjuk fel az utolsó intervallumot bináris alakban: 





(Ez, V3) — [0.101000111 . . .2 , 0.101010101 . . 2). 


Mivel az összes, 0.101001...2 számjegyekkel kezdődő bináris szám benne van 
ebben az intervallumban, és ez a legrövidebb ilyen tulajdonságú prefix, így a ki- 
menetre az 101001 sorozatot küldhetjük. 


2 


Az aritmetikai kódolás előzőekben ismertetett legegyszerűbb megvalósítása két 
problémát vet fel. Az egyre csökkenő méretű intervallumok kezelése igen nagy 
pontosságú aritmetikát tesz szükségessé, másrészt a teljes bemenet vagy bemeneti 
blokk beolvasásáig egyetlen bit sem jelenik meg a kimeneten. Mindkét problé- 
mára megoldást jelent, hogy a kódszó elején lévő bitek (tehát a legutolsó interval- 
lum alkalmasan kiválasztott elemének bináris tört ábrázolásban vett első néhány 
bitje) már az első néhány forráskarakterből meghatározhatók. Ennélfogva a kód- 
szó bitjeit, amint ismertté válnak, rögtön elküldhetjük a kimenetre. Ezzel együtt 
felskálázzuk az aktuális intervallum hosszát, amely így már csak a végső interval- 
lum eddig még ismeretlen részét fogja reprezentálni. Abban az esetben, amikor az 
aktuális intervallum teljes egészében az ; bal vagy jobb oldalára esik, a megoldás 
viszonylag egyszerű. A bemutatott eljárás igazi ötlete annak kezelése, amikor az 
aktuális intervallum közrefogja az 2-et. Ehhez egy számlálót fogunk bevezetni. 

A korábban ismertett algoritmusba az új aktuális (Ex, V4) intervallum kiválasz- 
tása után be kell szúrnunk az alábbi lépéseket: 


e Ha az aktuális intervallum a 10, 5) szakaszra esik, akkor egy 0-t, majd a 


számláló értékének megfelelő darab 1-est írunk a kimenetre. Ezután meg- 
duplázzuk az intervallum hosszát úgy, hogy a [0 5) szakaszt lineárisan ki- 


2 
terjesztjük a (0, 1) szakaszra. 


e Ha az aktuális intervallum az [5 1) szakaszra esik, akkor egy 1-est, majd a 
számláló értékének megfelelő darab O0-t írunk a kimenetre. Ezután megdup- 
lázzuk az intervallum hosszát úgy, hogy az [3. 1) szakaszt lineárisan kiter- 
jesztjük a (0, 1) szakaszra. 


e Ha az aktuális intervallum az [7 2) szakaszra esik, akkor nem írunk semmit 


a kimenetre, de megnöveljük a számláló értékét. Ezután megduplázzuk az 
intervallum hosszát úgy, hogy az [7 2) szakaszt lineárisan kiterjesztjük a 


(0, 1) szakaszra. 
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Ezeket a lépéseket mindaddig ismételjük, ameddig már egyik feltétel sem teljesül 
az aktuális intervallumra. 


INPUT: xI[I ]-ítömörítendő blokk) 

n-ítömörítendő blokk hossza) 

pl ]-í(szimbólumok valószínűségei) 

wI ]-(szimbólumok kumulált valószínűségei) 





OUTPUI: c-(kódszól) 





hossz-1 
számláló-0 


FOR i-0 to n-1 
F-Etw(x[Ii]) hossz 











hossz-hosszxp(x[i]) 
V-Ethossz 
WHILE V-Ec0.5 §6§ !(Ec0.25 §5§ V53—0.75) 

TE V2O0S5S HEN 

c-c,0, számláló db 1 
számláló-0 

E—-—Ex2 
V-V:x2 
ELSE IF E53—0.5 THEN 
c-c,1,számláló db 0 
számláló-0 
F—-Ex2-1 
V-Vx2-1 
ELSE IF E53—0.25 §€6§ VCO.75 THEN 

számláló-számlálót1 
E-Ex2-0.5 
V-Vx2-0.5 
ENDIF 
ENDWHILE 
NDFOR 
F számlálóz:0 THEN 
c-c, 0, számláló db 1 
NDIF 
EIURN c 











































































































H E 











x ti 


Végezetül még egy dologra szeretnénk rámutatni. Az aktuális intervallum a 
már feldolgozott bemenetről hordoz olyan információt, amely eddig még nem je- 
lent meg a kimeneten, ezért a kódoló állapotának is tekinthetjük. Egy h hosszú 
intervallum —logA bites állapotot jelent. A szakasz elején bemutatott legegysze- 
rűbb aritmetikai kódoló esetén az állapot az összes információt tartalmazza, hiszen 
a kimeneten egyetlen bit sem jelenik meg a bemenet teljes feldolgozásáig. A mó- 
dosított algoritmus esetén az állapot mindig kettőnél keveseb bit információt tar- 
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talmaz, ugyanis a szabály szerint az aktuális intervallum hossza mindig legalább 
1 


2: 


4.6. .  Adaptív tömörítés 


A veszteségmentes tömörítés alapkérdése, hogy hogyan bontsuk a bemeneti adat- 
halmazt elemi összetevőkre, ún. szimbólumokra, majd hogyan kódoljuk ezeket a 
lehető legkevesebb bittel. Az alapötlet az, hogy rövid kódszavakat rendelünk a 
gyakran előforduló szimbólumokhoz, és hosszabb kódszavakat a ritkábbakhoz. Az 
adatok akkor tömöríthetők, ha a szimbólumok egy része gyakrabban fordul elő, 
mint a többi (vagy az egymás utáni szimbólumok összefüggőek). Az alapján, hogy 
ezt milyen módon valósítják meg a forráskódolók, két csoportot különböztethe- 
tünk meg. A statisztikus kódolók megpróbálnak jó becslést adni a szimbólumok 
valószínűségi eloszlására. Ezt a lépést a bemeneti adatok (forrás) modellezésének 
nevezzük. Ide tartozik például a Huffman-kódoló is. A szótár alapú algoritmu- 
sok vagy más néven univerzális forráskódolók viszont olyan mintákat gyűjtenek 
egy szótárba, amelyek korábban előfordultak a bemeneten, és egy minta következő 
előfordulását a szótárban elfoglalt helyével kódolják. A módszer legelterjedtebb 
képviselői a Lempel-Ziv-algoritmusok (4.8. szakasz). Meg kell említenünk egy 
harmadik típusú módszert, amelyik igazából egyik előző csoportba sem esik, ez az 
ún. Burrows-Wheeler-transzformáción alapuló tömörítési eljárás (4.9. szakasz). 

A statisztikus kódolónak egy modellel kell kiegészülnie, amely a kódolás min- 
den lépésében megbecsüli az egyes szimbólumok előfordulási valószínűségeit. A 
valószínűségi modellnek nem szükséges leírnia a bemeneti adatokat előállító folya- 
matot, elegendő ha megadja a szimbólumok eloszlását. A kódoló működéséhez a 
valószínűségeknek még csak nem is kell különösebben pontosaknak lenniük. Per- 
sze minél pontosabbak, annál jobb tömörítésre számíthatunk. Szélsőséges esetben, 
ha a valószínűségek meg sem közelítik a valóságot, a kimenet akár hosszabb is 
lehet, mint a bemenet. A hatékony tömörítés eléréséhez egyrészt jó valószínűségi 
modellre van szükségünk, másrészt minél pontosabban kell ismernünk (vagy a be- 
menet alapján a modellnek megtanítanunk) a valószínűség-értékeket. 

A dekódolhatóság érdekében a tömörítéskor csak olyan információ használ- 
ható fel, amely a dekódolónak is rendelkezésére áll. Ettől eltekintve nincs más 
megszorítás a modellre, sőt, a bemeneti adatok feldolgozása közben még változhat 
is az. A modell lehet adaptív (dinamikusan, az előző szimbólumok figyelembe vé- 
telével határozza meg az adott szimbólum valószínűségét), fél-adaptív (előzetesen 
végigolvassa a teljes bemenetet azért, hogy statisztikát készítsen) és nem adap- 
tív (rögzített statisztikát használ a teljes bemeneti adathalmazra). A nem adaptív 
modell rendkívül rosszul is teljesíthet. Az adaptív kódok a bemenetet csak egyszer 
olvassák végig, de bonyolult adatszerkezeteket igényelhetnek. A fél-adaptív kódok 
a bemenet kétszeri beolvasását és a modell adatainak átküldését teszik szükségessé, 
ami hosszú üzenet esetén jelentős késleltetést okoz. Amennyiben ez utóbbit haté- 
konyan tudjuk megtenni, a fél-adaptív kódok az adaptívaknál kicsivel jobb ered- 
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ményt adhatnak, de általában a modellparaméterek átküldése illetve megtanulása 
azonos költséget jelent. 

Fél-adaptív modell esetén a forrásbetűk eloszlását a relatív gyakoriságokkal 
kell becsülnünk. A gyakorlati problémák során általában adott a Z7 , . . . , zy beme- 
neti sorozat (szöveg, fájl), amelyet szeretnénk optimálisan tömöríteni. Feladatunk 


N 
a E If(Z)) minimalizálása, vagyis az ilyen értelemben optimális f kódolófügg- 
i—1 


N 
vény megválasztása. Ez egyenértékű a kódszóhosszak átlagának, 1 Y If(Z)l-nek 
i—1 
a minimalizálásával. fő 
Belátjuk, hogy - E If(Z)I — EwIf(2)I, ha a várható értéket az empirikus el- 
1—1 
oszlás szerint vesszük, tehát a forrásbetűk valószínűségét a relatív gyakoriságukkal 
definiáljuk: 
1 N 
DN(x;) Bi N D1z-xy 


ahol I) az indikátor függvény. Nyilván 


n 


ENDI YE Pn) f(x)l — 


j—1 


Irz—xj) f(x) s 


het 

Il 
fe 

Il 
ast 


I 
Di: 
zl- 
Diz 





Irz—xj) f(x) T— 


I 
zl- 
Et 

D1- 


Il 
jea 
hi 
Il 
en 


2] - 
MM 
- 
IN 


II 
Ek 


A fél-adaptív kódolás két problémája, hogy egyrészt magát az empirikus elosz- 
lást is le kell írni, át kell vinni a dekódolóhoz, és ez a , fejléc" így a fentinél nagyobb 
átlagos kódszóhosszat eredményez. Az aszimptotikus vizsgálat során azonban et- 
től a konstans költségtől eltekinthetünk. Másrészt az algoritmust csak két lépésben 
tudjuk végrehajtani. Először meghatározzuk a forrásbetűk relatív gyakoriságát, 
ami az előzőek értelmében megegyezik a valószínűségekkel, majd ennek felhasz- 
nálásával elvégezzük a tényleges kódolást. Nem mindig engedhető meg azonban 
olyan nagy mértékű késleltetés, hogy csak az összes bemeneti adat megérkezése 
után kezdünk hozzá a kimenet előállításához, másrészt a kétmenetes beolvasás ak- 
kor is lassítja az algoritmust (bár kétségkívül optimális kódot eredményez), ha a be- 
menet már rendelkezésre áll. A gyakorlatban ezért sokszor érdemes adaptív kódot, 
vagyis egymenetes algoritmust használni. Így az optimalitás rovására időt takarít- 
hatunk meg. Egy forrásbetűt az előző forrásbetűk előfordulásai alapján kódolunk, 
s ezzel együtt lépésenként változik maga a kód is. Tehát az aktuális forrásbetű kó- 


dolását egy, az előzőleg feldolgozott forrásbetűkre nézve optimális kóddal hajtjuk 
végre. 
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Jó tömörítés eléréséhez fel kell tárnunk a bemeneti adatok struktúráját. Ez pél- 
dául képek esetén azt jelenti, hogy egy adott képpont intenzitás értékét a szomszé- 
dainak intenzitásaiból becsüljük meg és az így elkövetett hibát egy alkalmas való- 
színűségi eloszlással írjuk le, amely figyelembe veszi a kép különböző területeinek 
jellegzetességeit. Szövegfájlok esetén a megelőző betűk alapján egy Markov-lánc 
segítségével következtethetünk az aktuális karakterre. 


4.7. . Adaptív Huffman-kód 


A 4.4. szakaszban vizsgált (nem adaptív) Huffman-kódnál feltételeztük, hogy eleve 
ismerjük a bemenet eloszlását. Ez azonban nincs mindig így. Fél-adaptív Huffman- 
kód esetén az eloszlást a relatív gyakoriságokkal kell becsülnünk. Amennyiben 
nem engedhető meg a bemenet kétszeri beolvasásából eredő késleltetés, adaptív 
Huffman-kódot használunk. 

A bináris Huffman-fában a valószínűségek illetve a relatív gyakoriságok sze- 
repeltek (lásd 4.4. ábra). Adaptív Huffman-kódolás esetén ezek helyett a gyakori- 
ságokat használjuk (hiszen utóbbiakat a bemenet hosszával elosztva megkapjuk a 
relatív gyakoriságokat, és számunkra csak az értékek egymáshoz való aránya érde- 
kes). 

Az adaptív Huffman-kódoláshoz is egy bináris kódfát fogunk használni, vi- 
szont ezt nem építjük újra minden egyes forrásbetű után, hanem csak fokozatosan 
finomítjuk. Ugyan egy új betű olvasásakor megváltoznak a relatív gyakoriságok, 
de ez ritkán eredményezi a kódfa megváltozását. Algoritmikus szempontból két 
feladat van: egyrészt meg kell oldanunk, hogy a kódoló és a dekódoló észreve- 
gye, ha meg kell változtatnia a kódfát, másrészt egyszerű algoritmust kell adnunk 
a változtatásra. Ennek egyszerű kezeléséhez bevezetjük a kódfa egy új tulajdonsá- 
gát, az ún. testvér tulajdonságot (sibling property). Belátható, hogy egy prefix kód 
pontosan akkor Huffman-kód, ha teljesíti a testvér tulajdonságot. 


4.6. definíció (testvér tulajdonság). Egy bináris kódfa rendelkezik a testvér tulaj- 
donsággal, ha a gyökér kivételével minden csúcsának van testvére (azaz a szülőjé- 
nek egy másik gyereke), és a csúcsok felsorolhatók a hozzájuk rendelt valószínű- 
ségek (általánosabban: értékek) nemnövekvő sorrendjében úgy, hogy a testvérek 
egymás mellé kerüljenek ebben a listában. 


4.12. példa. A 4.6. ábrán látható fára teljesül a testvér tulajdonság. A nemnövekvő 
sorrend a következő: 


(28,18); (15,13); (11,7); (7.6); (6,5); (4.3); (3.2); (2.2); (2.1) 
A 4.7. ábra kódfájának testvérei: 
8.1; 21 41 


Ezeket nem tudjuk megfelelően sorba rendezni, így nem teljesül a fára a testvér 
tulajdonság. 
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4.6. ábra. Kódfa, amelyre teljesül a testvér tulajdonság 


4.7. ábra. Kódfa, amelyre nem teljesül a testvér tulajdonság 


Az adaptív algoritmus lépései a következők: 
Ismerjük a forrásszimbólumokat: X — (xi,x2, . . . ,xn). Kiindulásként felépítünk 
egy olyan Huffman-fát, amelyben — ha nincs információnk a betűk előfordulásá- 
nak valószínűségéről — minden forrásszimbólum azonos, 1 gyakorisággal szere- 
pel. Így egy kiegyensúlyozott bináris fát kapunk. (Ha ismerjük a kezdeti eloszlást, 
megtehetjük, hogy erre építjük fel az adaptív algoritmus kiindulási fáját.) Elküld- 
jük a dekódolónak sorrendben (pl. a gyökértől a levelek felé, szintenként, balról 
jobbra) a lehetséges forrásszimbólumokat, amelyből az szintén felépíti a kiindulási 
Huffman-fát. (Ügyelni kell arra, hogy a kódoló és a dekódoló azonos algoritmust 
használjon.) A kódolás során beolvassuk a k-adik forrásszimbólumot. Ezt a koráb- 
ban beolvasott X — 1 betű feldolgozásával kialakult, lokálisan optimális kódfával 
kódoljuk, majd eggyel növeljük a forrásszimbólum gyakoriságszámlálóját. Aktu- 
alizáljuk a fát, vagyis megvizsgáljuk, hogy fennáll-e még a testvér tulajdonság. 
Amennyiben nem, helyreállítjuk azt a kód optimalitásának érdekében: a most be- 
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4 54 (6) 
bd. 
VWVWOMVY 
A B C D A B C D A B C D 


4.8. ábra. Az 4.13. példa kódfájának alakulása 


olvasott szimbólumhoz tartozó levelet felcseréljük a tőle a fában legtávolabb lévő 
(vagyis a leghosszabb úton elérhető), nála eggyel kisebb értékű csúccsal az abból 
esetlegesen kiinduló részfával együtt. A felcserélt csúcsok szülőinek gyakoriság- 
számlálóit megfelelően módosítjuk (eggyel csökkentjük vagy növeljük). Ezeket a 
lépéseket a dekódoló is elvégzi, tehát a következő kódbetű dekódolásakor ugyan- 


24 


azt a fát fogja használni, mint amelyet a kódoló használt annak előállításakor. A 
(k-- 1)-edik betű beolvasása után az előzőekhez hasonlóan folytatjuk. 
Ügyelni kell arra, hogy hosszú bemenet esetén előfordulhat a szimbólumok 


gyakoriságszámlálójának túlcsordulása. Ezt megfelelő technikával orvosolni kell. 


4.13. példa. A bemeneti ábécénk: X — (A, B,C,D). Adaptív Huffman-kóddal kó- 
doljuk a beérkező forrásszimbólumokat, melyek legyenek a kövekezők: DCDA. 
A 4.8. ábrán követhetjük nyomon a kódfa alakulását. Látható, hogy a testvér tulaj- 
donság az DCD feldolgozása után sérül, a D gyakoriságszámlálójának 3-ra növelé- 
sével. Ekkor az A és B levelek szülőjét a hozzá tartozó részfával együtt felcseréljük 
a D csúccsal, s így helyreállítjuk a kódfa testvér tulajdonságát, majd ezzel kódol- 
ható az utolsó, A szimbólum. 
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4.8. Univerzális forráskódolás: Lempel—Ziv-típusú mód- 
szerek 


A "70-es évek második felében Abraham Lempel és Jacob Ziv az addig alkalma- 
zott statisztikus kódolóktól gyökeresen eltérő forráskódoló technika ötletével állt 
elő. Az általuk javasolt módszer nem használ valószínűségi modellt. Alapötlete 
az, hogy egy előzőleg már látott karaktersorozatot egy pufferbeli mutatóra (LZ77) 
illetve egy szótárbeli indexre (LZ78) cserél le. A statisztikus kódolók egy gya- 
kori blokkhoz rövid kódszót rendelnek, a Lempel—Ziv-típusú kódolók pedig egy, a 
múltban látott leghosszabb egyezéshez rendelnek lényegében fix hosszúságú kód- 
szót. 

Az eddig vizsgált kódok alkalmazásakor az adó és a vevő között átvitelre kerülő 
bitek két csoportot alkotnak. Először átvisszük a blokk-kódot leíró információt. Ez 
egy állandó költséget jelent, független az üzenet tényleges hosszától. Majd követ- 
keznek az üzenet kódszavai. Elméleti vizsgálataink során azzal a feltételezéssel él- 
tünk, hogy a továbbítandó üzenetünk végtelen hosszú. Ilymódon, a kódok aszimp- 
totikus viselkedését tekintve, az állandó költség fajlagosan nullához tart, tehát elha- 
nyagolható. A gyakorlatban azonban véges hosszúságú forrásszegmensekkel van 
dolgunk. Ebben az esetben az állandó költség akár nagyobb is lehet, mint az üze- 
net kódszavainak összhosszúsága. Ezt elkerülendő, jó lenne, ha rendekezésünkre 
állna egy olyan technika, amelynek nincs állandó költsége, de aszimptotikusan 
ugyanolyan jó tömörítési arányt ér el, mint a blokk-kódok. Az állandó költség ab- 
ból adódik, hogy a kódot a forráson előzetesen elvégzett statisztikai vizsgálatok (a 
forrásszimbólumok gyakorisága) alapján hozzuk létre, tehát ezek az adatok szük- 
ségesek a kód leírásához. Ehelyett járjunk el úgy, hogy menet közben gyűjtünk 
információt a forrásszimbólumokról, vagyis az aktuális szimbólumot az ezt meg- 
előző szimbólumok alapján kódoljuk. Az ilyen kódokat adaptív kódoknak nevez- 
zük, alkalmazásuk során nincs állandó költség. Korábban találkoztunk már ilyen 
módszerrel az adaptív Huffman-kód kapcsán. A most tárgyalásra kerülő Lempel— 
Ziv-kódok is ebbe a családba tartoznak. 

Az első Lempel-Ziv-algoritmus az 1977-ben publikált LZ77. 


Az LZT7 algoritmus 


A kódoló a forrásszimbólumok sorozatát egy ha hosszú csúszóablakon keresz- 
tül vizsgálja. Az ablak két részből áll: egy keresőpufferből, amely a legutóbb kó- 
dolt Ax darab forrásszimbólumot tartalmazza, és egy előretekintő pufferből, amely 
a következő h, darab kódolandó szimbólumot tartalmazza (ha — hx -- he és hx álta- 
lában sokkal nagyobb, mint ho). A kódoló a keresőpufferben megkeresi az előre- 
tekintő pufferben lévő karaktersorozattal leghosszabban egyező részt, majd elküld 
egy (zt, h,c) hármast, ahol t a keresőpufferben megtalált karaktersorozat távolsága 
az előretekintő puffertől (offset), h a kereső- és az előretekintő puffer egyező szim- 


bólumainak legnagyobb hosszúsága, c pedig az első, az előretekintő pufferben lévő 
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nem egyező karakter kódszava. Azért küldjük el az első nem egyező karakter kód- 
ját is, hogy kezeljük azt az esetet, amikor az előretekintő puffer szimbólumait nem 
találjuk meg a keresőpufferben. Ilyenkor t és h értéke 0. Egy hármas kódolásához 
állandó hosszúságú kód használatával [log hr] -- [loghe] -- [log IXII bit szükséges, 
ahol IXI a forrásábécé mérete. Figyeljük meg, hogy az egyező szimbólumok hosz- 
szúságának átviteléhez nem [logAhk], hanem [loghe] bit szükséges. Ennek oka, 
hogy az egyezés hossza meghaladhatja a keresőpuffer hosszát, vagyis az egyező 
rész átlóghat az előretekintő pufferbe. 





4.14. példa. Kódoljuk Weöres Sándor: Varázsének (1934) című versének alábbi 
részletét az LZ77 algoritmussal. 

csiribiri, csiribiri, bojtorján— 

lélek, lép, a, lajtorján 


Legyen h, :— II, h, :— 7, he : 4. Tegyük fel, hogy az első néhány karaktert már 
kódoltuk. Ekkor: 


t—-4 —- 
6 irod bovi T d aa es e dB d TT as 


h-2 


Látható, hogy az előretekintő puffer tartalmával a leghosszabb egyezést a kereső- 
pufferben t — 4 távolságra találjuk meg. Ekkor az egyezés hosszúsága h — 2. Tehát 
az ri, , karaktereket a (4, 2, f(..)) hármassal kódoljuk, ahol f(, ) a , , karakter kódját 
jelöli. Az ablakot hárommal jobbra mozgatjuk, így: 


Az előretekintő puffer első karaktere, c, nem található meg a keresőpufferben. Át- 
küldjük a (0,0, f(c)) hármast. Az ablakot eggyel jobbra mozgatjuk, és így tovább. 
Az elküldött hármasok a következők: 


4.2, f(..)) (0,0,f(c)) 40,0, f(5)) (6,3,f(D)) 4.3, f(1)) 45,1,f(0)) (0,0, f(j)) 


) ) 
40,0, f(r)) 8.1. f(r)) 4.1. f(á)) (0,0, f(m)) (0,0,f(—)) 40,0,f(1)) (0,0, f(é)) 
(2, 1, f(e)) (0,0, f(k)) (0,0,f(.)) (6,2,f(p)) 4.1, f(a)) (6,2, f(a)) (0,0, f(j)) 
40,0, f(1)) (0,0,f(v)) (0,0,f(r)) 4.1, f(á)) 40,0,f(n)) 


2 4 


Az alábbiakban bejelöltük a kereső és az előretekintő puffer határát az egyes kódo- 
lási lépések során: 


( 
( 





.lelsliriblíri, Iboljltlorljálni-] 
1léllelki [léplhal laliltlolr[jáln 


csiribilri 
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Elképzelhető, hogy a leghosszabb egyező karaktersorozat átnyúlik az előrete- 
kintő pufferbe, tehát h 5 t. A dekódolás során ez az , átlógás" nem okoz gondot, 
mert az első néhány karaktert könnyen megkapjuk a már előzőleg dekódolt ka- 
rakterekből, a maradékot pedig az előbbi lépés során megkapott néhány karakter 
segítségével nyerjük. 

Láthatjuk, hogy az LZ77 egy rendkívül egyszerű adaptív algoritmus, amely 
nem igényel előzetes ismeretet vagy feltevést a forrásról. Megmutatható, hogy az 
eljárás hatékonysága aszimptotikusan (/x,he — 50) megközelíti az optimális algo- 
ritmusét, amely előzetesen ismeri a bemenet eloszlását. 

Az LZ77 alkalmazása során a bemeneti szimbólumok legutóbb kódolt soroza- 
tát hasznájuk, így azzal a feltételezéssel élünk, hogy a minták egymáshoz közeli 
intervallumokban visszatérnek (a mozgó ablakon belül). Szélsőséges esetben, ha 
az ismétlődés hossza éppen eggyel hosszabb a keresőpuffer méreténél, nem tudunk 
tömöríteni. A Lempel—Ziv-algoritmus következő, 1978-as veriójánál (LZ78) ezt a 
problémát egy másfajta, adaptív szótár alapú rendszerrel oldják fel. 


Az LZ78 algoritmus 


A kódoló és a dekódoló is szótárt épít az előzőleg előfordult sorozatokból. A 
kódoló megkeresi a forrásszimbólumok aktuális pozíciójától kezdődő leghosszabb 
egyezést a szótárban. Átküld egy (i,c) párt, ahol i az egyező karaktersorozat szó- 
tárbeli indexét jelöli, c pedig az első nem egyező karakter kódja, majd felveszi a 
szótárba az i indexű egyező karaktersorozat és a c karakter összefűzésével kapott 
sztringet (a következő szabad indexet adja neki). Ha nem talál egyező karaktersoro- 
Zatot a szótárban, akkor a (0, c) párost küldi át, c itt is az első nem egyező karakter 
kódja, amely ebben az esetben természetesen az első feldolgozandó szimbólum. 


4.15. példa. Kódoljuk a korábbi Weöres-idézetet az LZ78 algoritmussal. 


csiribiri, csiribiri, bojtorján— 
lélek, lép, aa, lajtorján 


Kezdetben a szótár üres, ezért az első 4 szimbólumot egyenként felvesszük a szó- 
tárba, és a 0 indexszel átküldjük: (0, f(c)), (0, f(s)). (0, f(i)). (0, f(r)). Az ötödik 
szimbólum az i, amely szerepel a szótárban, a következővel együtt (ib) viszont már 
nem, ezért átküldjük a (3, f(b)) párost, amelyből a 3 jelöli az i indexét, f(b) pedig 
a következő karakter, vagyis a b kódját. Az ib sorozatot felvesszük a szótárba, in- 
dexe 5 lesz. Így folytatjuk az eljárást, az eredményt a 4.9. ábrán látható táblázatban 
foglaltuk össze. Látható, hogy a szótárbeli bejegyzések egyre hosszabbak, és ha a 
bemeneti sorozat ismétlődik, akkor előbb-utóbb az egész sztring szerepelni fog a 
szótárban. Az egyes lépéseket bejelöltük a bemeneten: 





elslilr[iblír]li, leslirilblíri, Iboliltlolrjlálni-! 
1léllelk], [Lélpl, al. 1laljtlor[ jáln 
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a kódoló szótár a kódoló szótár 
kimenete index bejegyzés kimenete index bejegyzés 
(0,f(c)) 1 c (10,f(o)) 12 bo 
(0, fly 2 S 0, FUJ) 13 j 
0, FG) 3 i (0, fh IA t 
(0, fr) 4 r (0, f(o)) 15 o 
3, fo) 5 ib 4 JU) 16 rj 
3, f(r)) 6 ir (0, f(á)) 17 á 
STO) 7 i, , (0, f()) 18 n 
16 EV AC VEN cs (0,f(—)) 19 - 
(6, f(i)) 9 iri (0,f(1)) 20 l 
(0, f(D)) 10 b (0, f(é)) 21 é 
(9, f(1)) 11 iri, , (20, f(e)) 22 le 

a kódoló szótár 


kimenete index bejegyzés 
(0, f(x) 23 k 


(0, f()) A ég 
(20,f(é)) 25 lé 
(0,f(p)) 26 Dp 
(24, f(a) 27 ad 
(24, f(1)) 28 el 
(0, f(a)) 29 a 
(13,f(t)) 30 jt 
(15, f(r) 31 or 
(13,f(á)) 32 já 
(18, ) 


4.9. ábra. Az 4.15. példa LZ78 kódolásának menete 


Megmutatható, hogy az LZ78 is aszimptotikusan optimális. 

Az LZ78 algoritmus egyik hibája, hogy a szótár folyamatosan, korlát nélkül 
növekszik. A gyakorlatban egy bizonyos határon túl gátat szabunk a növekedésnek: 
vagy rendszeresen eltávolítjuk a felesleges illetve ritkán használt bejegyzéseket, 
vagy egy idő után fix szótárasként működik tovább az eljárás. 


Az LZW algoritmus 


Terry Welch az LZ78 módosításával egy olyan technikát dolgozott ki, amellyel 
megtakarítható az (i,c) párból a c karakterkód átküldése. Ez az ún. LZW algorit- 
mus. A kódoló tehát csak szótárbeli indexeket küld át. Ehhez szükséges, hogy a 
szótárban már a kiinduló állapotban is szerepeljen az összes egybetűs szimbólum 


4 Za Zz 
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a forrásszimbólumokat a pufferbe, amíg az s sorozatuk szerepel a szótárban. Ha az 
a karakter az első olyan, amelyre sa nincs benne a szótárban (az egymás után írás- 
sal a konkatenációt jelöltük), akkor átküldjük az s sorozat indexét, az sa sorozatot 
felvesszük a szótárba és az a karaktertől kezdve folytatjuk az eljárást. 


4.16. példa. Kódoljuk az LZW algoritmussal az idézetünket. 


csiribiri, csiribiri, bojtorján— 
lélek, lép, aa, lajtorján 


Az egyszerűség kedvéért legyen a forrásábécé az idézetben ténylegesen előforduló 
karakterek halmaza, vagyis X — f(a,á,b,c,e,é,i, j,k,l,n,o,p,T,S,t, .,, —k. Kezdet- 
ben ez a 18 bejegyzés szerepel a szótárban. (Általános esetben felvesszük a magyar 
ábécé összes betűjét és a legfontosabb írásjeleket, ami 64 bejegyzéssel, vagyis 6 
bittel megoldható.) A kódoló először veszi a c karaktert. Ez benne van a szótár- 
ban, így hozzáilleszti a következő, az s karaktert. A cs sorozat már nem szerepel a 
szótárban, ezért átküldi a c indexét, vagyis a 4-et, felveszi a szótárba a cs sorozatot 
a 19. helyre, és megy tovább az s-sel kezdve. Az s szerepel a szótárban, így hozzá- 
veszi az i-t. si nincs bent, tehát átküldi s indexét, a 15-öt, felveszi si-t, és folytatja 
az eljárást i-től, stb. A 4.10. ábrán látható táblázat tartalmazza a kódolás végez- 
tével a szótárban található indexeket és karaktersorozatokat. A kódoló kimenete a 
következő: 


4,15,7,14,7,3,21,7,17,19,25,24,22,17,3,12,8,16,12,14, 


8,2,11,18,10,6,10,5,9,17,43,13,17,1,48,1,35,37,39,11 


Az egyes lépéseket pedig bejelöltük a bemeneten: 





elslilrlilblír] il, leslírilbilril, Ibloljltlolr[jlálni- 
1lélllelkl Iélpl lal 1laljtlor[jáln 


4.17. példa. Dekódoljuk a 4.16. példában kapott LZW algoritmussal tömörített 
X — fa,á,b,c,e,é,i, j,k,l.n,o,Dp,r,S,t,.., —)b forrásábécé feletti szöveget. A kó- 
doló kimenetéről a dekódoló bemenetére a 4, 15,7,14,7,3,21,7,17, 19, . . . sorozat 
jut el. A kiindulási szótár tartalmazza a forrásábécé betűit. Így a 4, 15 sorozatot 
dekódoljuk c illetve s karakterként. A szótárba felvesszük a cs bejegyzést 19-nek, 
és a következő sorozat, amely a szótárba kerül majd, az s karakterrel fog kezdődni. 
A 7 kódszó érkezik a bemeneten, ezt dekódoljuk i-ként, a szótárban a 20-ik helyre 
felvesszük az si-t, és feljegyezzük, hogy a következő szótárba kerülő sorozat i-vel 
kezdődik majd. A 14 kódszót r-ként dekódoljuk, és ir kerül a szótárba, a 7-et i- 
ként, és ri kerül a szótárba, a 3-at pedig b-ként, ib kerül a szótárba, és b-vel fog 
kezdődni a következő bejegyzés. Ekkor a 21 kódszó következik, amelyet ir-ként 
dekódolunk. Először az i betűt illesztjük a készülő új szótárbejegyzés kezdő b be- 
tűjéhez. Mivel a bi sorozat nincs a szótárban, felvesszük azt 24-ként. A következő 
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index bejegyzés index bejegyzés index bejegyzés 
1 a 20 si 39 já 
2 á 21 ir 40 án 
3 b 22 ri 41 n- 
4 c 23 ib 42 -1 
5 e 24 bi 43 lé 
6 é 25 iri 44 él 
7 i 26 1, 45 le 
8 j 27 46 46 ek 
9 k 28 csi 47 k , 
10 1 29 irib 48 av 
11 n 30 bir 49 lép 
12 o 31 Ti, , 50 Pa 
13 p 32 ab 51 La 
14 T 33 bo 52 a , 
15 s 34 oj 53 la 
16 t 35 jt 54 aj 
17 36 to 55 jto 
18 - 37 or 56 orj 
19 Cs 38 Tj 57 ján 


4.10. ábra. Az 4.16. példa szótára 


PA 


új bejegyzés i betűvel fog kezdődni. Mivel az ir párnak csak a kezdő i betűjét 
használtuk fel, a maradék r betűt hozzáillesztjük a készülő új szótárbejegyzéshez, 
így ir-t kapunk. Ez már szerepel a szótárban, ezért tovább folytatjuk a dekódolást. 
Az első 24 bejegyzés készen van, míg az 25-ik éppen készülőfélben, a következő 
bemenet pedig a 7 kódszó, amelyet i-ként dekódolunk. Illesszük az i karaktert a 
készülőben lévő új bejegyzéshez. Mivel az így kapott iri még nem szerepel a szó- 
tárban, ez lesz a 25-ik bejegyzés. A következő bejegyzés i betűvel fog kezdődni, 
stb. A dekódoló által épített szótár természetesen megegyezik a kódoló szótárával, 
amely a 4.10. ábrán látható. 


4.18. példa. Dekódoljuk az LZW algoritmussal tömörített, A — (a,b) forrásábécé 
feletti abababab . . . karaktersorozatot. A kódoló kimenetéről a dekódoló bemene- 
tére az 1, 2,3,5,4, 7,6,9, 8, . . . sorozat jut el. A kiindulási szótár tartalmazza az a és 
a b bejegyzést. Így az 1, 2 sorozatot dekódoljuk a illetve b karakterként. A szótárba 
felvesszük az ab bejegyzést harmadiknak, és a következő sorozat, amely a szótárba 
kerül majd, a b karakterrel fog kezdődni. A 3 kódszó érkezik a bemeneten, ezt de- 
kódoljuk ab-ként. Először az a betűt illesztjük a készülő új szótárbejegyzés kezdő 
b betűjéhez. Mivel a ba sorozat nincs a szótárban, felvesszük azt. A következő 
új bejegyzés a betűvel fog kezdődni. Mivel az ab párnak csak a kezdő a betűjét 
használtuk fel, a maradék b betűt hozzáillesztjük a készülő új szótárbejegyzéshez, 
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így ab-t kapunk. Ez már szerepel a szótárban, ezért tovább folytatjuk a dekódolást. 
Az első 4 bejegyzés készen van, míg az 5. éppen készülőfélben, a következő be- 
menet pedig az 5 kódszó, amely a még nem teljesen kész bejegyzésre hivatkozik. 
Ennek ellenére tovább tudjuk folytatni a dekódolást! Ha ismernénk az 5. bejegy- 
zést, annak első két karaktere ab lenne. Illesszük az a karaktert a készülőben lévő 
új bejegyzéshez. Mivel az így kapott aba még nem szerepel a szótárban, ez lesz az 
5. bejegyzés. A következő bejegyzés a betűvel fog kezdődni, és még megmaradt a 


ba sorozat az előző dekódolásból, stb. Az alábbi táblázat tartalmazza a kódoló és a 
dekódoló által épített szótárt: 


index bejegyzés index — bejegyzés 
IHEKENNKKKETTNN 6 abab 

2 b 7 bab 

8) ab 8 baba 

4 ba 9 ababa 

5 aba : 


4.9. Burrows- Wheeler-transzformáció 


A tömörítendő adatok statisztikai elemzésével a széles körben elterjedt Lempel— 
Ziv-algoritmusoknál jobb tömörítési arány érhető el, de ez lényegesen nagyobb 
futási időt igényel. A következőkben egy olyan eljárást mutatunk be, amelynek 
tömörítési aránya jól megközelíti a statisztikai módszerekét, viszont a Lempel— 
Ziv-algoritmusokkal összemérhető sebességgel működik. 

A Burrows és Wheeler által javasolt eljárás egy blokk-kódolás. Alapötlete az, 
hogy invertálható módon úgy rendezzük át a blokk szimbólumait, hogy az azonos 
karakterek nagy valószínűséggel egymás mellé kerüljenek, s így már egyszerű tö- 
mörítési eljárásokkal is jó hatásfokot érhetünk el. Minél nagyobb a blokkméret, 
annál jobb tömörítési arány érhető el. (Természetesen a műveletek memóriaigénye 
gátat szab a blokkméret határtalan növelésének.) Az eljáráshoz szükséges, hogy a 
lehetséges bemeneti szimbólumokon rendezést definiáljunk. 

Vegyük a bemeneti szimbólumok egy m hosszú blokkját. Képezzük rendre az 
összes ciklikus eltoltját, és ezeket rendezzük egy táblázatba. (Valójában nem szük- 
séges ezeket az eltoltakat fizikailag létrehoznunk, elegendő ha a bemeneti blokk 
memóriaterületének mutatóival dolgozunk.) Ennek az m soros táblázatnak a so- 
rait rendezzük lexikografikusan, majd ebben a sorrendben olvassuk ki az utolsó 
oszlopot, vagyis a blokkok utolsó szimbólumát. Az így kapott, szintén m hosszú 
sorozatból helyreállítható az eredeti blokk, amennyiben még azt is tudjuk, hogy a 
rendezett táblázat hányadik sorában szerepel az eredeti blokk. A 4.11. ábrán egy 
m — 6 hosszú blokkra szemléltetjük a módszert (a gyakorlatban természetesen en- 
nél lényegesen nagyobb blokkméretet célszerű választani). A transzformáció az 
ALMAFA sorozatból az FMAAAL sorozatot állítja elő, és az eredeti sorozat pedig 
a táblázat harmadik sorában jelenik meg. 
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ALMA PF A AALMAIF 
LMA FF A A A F A ALÍM 
MAFAAL ALMA FIAI — 
AFAALM 77 FAAL MIA 
FAALMA LMA F AIA 
AALMA F MA FA AIL 


4.11. ábra. A Burrows-Wheeler-transzformáció 


INPUT: xI ]—-ítömörítendő blokk) 
n-ítömörítendő blokk hossza) 





OUIPUT: L-írendezett táblázat utolsó oszlopa) 
i-(az eredeti blokk sorszáma) 


FOR i-0 to n-1 
FOR j-0O to n-1 
T[i,j]l-x[(itj) mod n] 
ENDFOR 
ENDFOR 
R-Lexikografikusan Rendez (T) 
FOR i-0 to n-1 
L[i]-T[i,n-1] 








ja B 
WHILE (R i-edik sora) !— íT i-edik sora) 


























Az inverz transzformáció is nagyon egyszerűen működik. A rendezett táblázat- 
nak azon sorát kell helyreállítanunk, amelyben az eredeti sorozat szerepel. Ennek 
sorszámát tudjuk. Ismerjük még a táblázat utolsó oszlopát, s ez rögtön megadja 
az első oszlopot is, hiszen abban szintén az utolsó oszlop karakterei szerepelnek, 
csak rendezett sorrendben. Ezután megkeressük, hogy a kérdéses sor első szimbó- 
luma melyik sor utolsó elemeként szerepel, majd e sor első elemét írjuk a kérdéses 
sor második helyére, ugyanis a ciklikus eltolások miatt bármely sorban a karakte- 
rek sorrendje azonos. Általában pedig a kérdéses sor i-edik helyére azon sor első 
szimbólumát írjuk, amelynek utolsó helyén a kérdéses sor i — 1-edik szimbóluma 
szerepel. Ha az utolsó oszlopban a keresett szimbólum többször is előfordul, ak- 
kor az annyiadik előfordulását vesszük, ahányadikként az első oszlopban szerepelt 
ezen szimbólumok közül. 

Vegyük észre, hogy a bemeneti blokkot eddig még nem tömörítettük, hiszen 
a BW-transzformáció az eredetivel megegyező hosszúságú blokkot állít elő. A 
bemenet szimbólumai közötti függőségek miatt viszont a transzformált blokkban 
hosszú, azonos szimbólumokból álló sorozatok jelennek meg, amelyek jól tömö- 
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A, F.L.LM 6 FALM — M FAL 6 AM, EL 6 AMEL — 


l l 1; l l 
2 4 3 1 1 
A,M,E,L 
l 
4 


4.12. ábra. A , mozgasd az elejére" eljárás 


ríthetők az ún. , mozgasd az elejére" (move to front) módszerrel. Kiindulásként 
vegyünk fel egy listát, amely a bemeneten előforduló szimbólumokat tartalmazza 
tetszőleges sorrendben. A szimbólumokat egyesével olvasva kódoljuk azokat a lis- 
tában elfoglalt helyük sorszámával, és minden lépésben mozgassuk a lista elejére 
az aktuális szimbólumot (a többit eggyel hátrébb tolva). A BW-transzformáció ál- 
tal szolgáltatott speciális sorozat miatt azt várhatjuk, hogy kis sorszámok sorozatát 
eredményezi ez az algoritmus, amely jól tömöríthető például Huffman-kódolással. 


INPUT: LI[I ]-—-(BW-transzformált blokk) 
n-íblokk hossza) 
FI ]-(forrásábécé) 

OUTPUT: c[l ]-ísorszámok sorozata) 


FOR i-0 ton 
j—-0 

WHILE F[]-]!-L[i] 
j-jti 
ENDWHILE 

[i]—j 
mp-F[]-] 
OR k-j to 1 
FIk]-FI[k-1] 
NDFOR 
[0]-tmp 
ENDFOR 
RETURN c 











mi da 


mi td 














Alkalmazzuk a 4.11. ábra példájára a mozgasd az elejére módszert. Az egy- 
szerűség kedvéért a kezdeti listán csak a blokkban ténylegesen előforduló szimbó- 
lumok szerepelnek, mégpedig ábécé sorrendben. A lista alakulása és a kimeneten 
megjelenő sorszámok a 4.12. ábrán nyomonkövethetők. Az FMAAAL sorozatból 
a2,4,3, 1, 1,4 sorozatot kapjuk. 
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4.10. Alkalmazások 


Faxkódolás 


A 4.6. példa átmenetvalószínűségei jellegzetesek egy túlnyomóan szöveget tar- 
talmazó (pl. üzleti) dokumentum esetén. Megfigyelhető, hogy a következő képpont 
színe sokkal nagyobb valószínűséggel lesz azonos az előzőével, mint eltérő (külö- 
nösen világos esetében). Ahelyett, hogy a képpontok színét külön-külön kódol- 
nánk, kódoljuk egyszerűen az azonos színű képpontok (vagyis a futamok) hosszát, 
tehát azt a hosszt, amíg a Markov-lánc azonos állapotában maradunk. Ezt a tech- 
nikát futamhossz kódolásnak nevezzük. (A futamhossz kódolás optimalitására 
vonatkozóan lásd a 4.14. feladatot.) Például, ha 190 világos pixelt 30 sötét követ, 
majd 210 világos jön, a 430 képpont egyenkénti kódolása helyett a 190, 30,210 
sorozatot fogjuk kódolni, valamint jeleznünk kell azt, hogy az első pontsorozat 
milyen színű volt. 

Futamhossz kódolást alkalmaznak az ITU-T fax-szabványaiban is. Számunkra 
a Group 3 illetve Group 4 ajánlások érdekesek, ugyanis a korábbi Group 1! és 2 
technikák csak analóg módszereket használtak, ennélfogva nem tömörítettek. 

Az 1980-ban megjelent Group 3 szabvány egydimenziós futamhossz kódolás- 
sal dolgozik. Ez azt jelenti, hogy az egymás alatti vízszintes sorokat egymástól 
függetlenül kódolja, a futamok pedig az egy soron belül váltakozó fehér és fekete 
képpontokból állnak. Minden sor első futama fehér képpontokból áll; ha egy sor 
fekete pixellel kezdődik, akkor az első futamot egy 0 hosszúságú fehér futamnak 
kell tekinteni. A különböző hosszúságú futamok eltérő valószínűséggel fordulnak 
elő egy dokumentumban, ezért ezeket változó szóhosszúságú kóddal, mégpedig a 
szabvány szerint Huffman-kóddal kódolják. A futamok összhossza, vagyis egy sor 
hosszúsága 1728 képpont. Ez túl sok lehetséges futamhosszt eredményez, nincs 
értelme ilyen nagyméretű kódot alkalmazni. Ezért a h hosszt 1 vagy 2 jegyű, 64-es 
számrendszerben felírt (vagyis 6 bites) számként kódolják: 


h—64m-kt 1—O,1,....63 — m—0],...,26 


Külön kódtáblázat vonatkozik az m, vagyis a kiegészítő kód (make up code, MUC) 
illetve a t, vagyis a befejező kód (terminating code, TC) értékeire, külön a fekete 
és külön a fehér képpontok esetére. Egy futam kódját a színnek megfelelő MUC 
illetve TC táblázatból kiolvasott kódszavak konkatenációja adja. Azonos színhez 
tartozó MUC és TC táblázatok prefix tulajdonságúak (együttesen is). Mivel a fe- 
kete és fehér futamok mindig váltakozva szerepelnek, ezért a fekete táblázatokban 
álló kódszavak lehetnek a fehér táblázatokban állók prefixei és fordítva. A sor 
végét a speciális EOL (end of line, sorvége) kódszó jelöli: 000000000001. Ez 
biztosítja az adó és vevő közötti szinkronizációt is. 

1984-ben publikálta a ITU-T a Group 4 ajánlást, amely kihasználja a függőle- 
ges irányú redundanciát is, emellett felülről kompatíbilis a Group 3-mal. Egy soron 
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bi ba 





do d1 a2 











4.13. ábra. Az ag, a1, az, bi, ba mutatók lehetséges elhelyezkedése 


belül a futamokat nem csak a már megismert módon, a futamhosszak felsorolásával 
kódolhatjuk, hanem a színátmenetek helyének pozícióival is. 

A kétdimenziós kódolás megértéséhez vezessük be az alábbi jelöléseket: 

do: Az utolsó pixel, amelynek értékét a kódoló és a dekódoló egyaránt ismeri. 
Egy sor kódolásának megkezdésekor az ag egy képzeletbeli fehér képpontra mutat, 
amely az első aktuális pixel bal oldalán áll. 

a1: Az első színátmenetet jelentő képpont ag jobb oldalán. a1 színe ellentétes 
ag színével. az helye csak a kódoló számára ismert. 

az: Az második színátmenetet jelentő képpont ag jobb oldalán. az színe ellen- 
tétes az színével, ami azt jelenti, hogy megegyezik ag színével. 

bi: Az első színátmenetet jelentő képpont az aktuálisan kódolandó sort meg- 
előző sorban ag jobb oldalán, amelynek színe ellentétes ag színével. Mivel a meg- 
előző sor és ag értéke ismert a kódoló és a dekódoló számára is, ezért b1 helye is 
ismert mindkettőjük előtt. 

ba: Az első színátmenetet jelentő képpont az aktuálisan kódolandó sort meg- 
előző sorban bi jobb oldalán. 

A Group 4 algoritmusa az első sort ugyanúgy kódolja, mint a Group 3 esetében 
láttuk. A további sorok kódolásához felhasználja az azt megelőzőt, így a második- 
hoz az elsőt, a harmadikhoz a másodikat, stb. A 4.13. ábra azt a helyzetet ábrázolja, 
amikor éppen a második sornál tartunk a feldolgozásban, és a képpontokat a má- 
sodik pixelig már feldolgoztuk. A színátmenetet jelentő pixeleket ponttal jelöltük. 
Két esetet kell megkülönböztetnünk: 

Ha bi és b? ag és ai között fekszik, a kódoláshoz az átadó (pass) módot hasz- 
náljuk. A kódoló egy speciális kódszó kiküldésével értesíti a dekódolót erről. Eb- 
ből a dekódoló tudja, hogy az ao-tól a b2 alatti pixelig a képpontok színe azonos. Ha 
ez nem lenne igaz, akkor közben lenne egy színátmenetet jelentő képpont, vagyis 
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a1 és b; viszonyára nem lenne igaz a feltételünk. Ekkor a kódoló és a dekódoló 
által egyaránt ismert legutolsó képpont a b2 által mutatott lesz. Így ez lesz az ag új 
helye, a másik négy mutató új pozícióját pedig a már ismert módon jelöljük ki. 

Ha ai megelőzi b2-t, ismét két eset lehetséges: Ha ai és bi távolsága nem 
nagyobb 3-nál, elküldjük ezt a távolságértéket (ezt függőleges módnak nevezzük). 
(A kódszó természetesen függ attól, hogy az jobbra vagy balra van-e b1-től, így 
itt összesen 7 eset lehetséges azt is beleértve, hogy a1 éppen bi alatt helyezkedik 
el.) aog-t a1-re állítjuk, módosítjuk a másik négy mutatót is, és folytatjuk a kódolást 
az algoritmus elejétől. Ha az és bi távolsága nagy, lényegében visszatérünk az 
egydimenziós technikához. Egy speciális kódszóval jelezzük a dekódolónak, hogy 
vízszintes módban vagyunk, majd elküldjük ag és ai illetve az és az távolságát 
Huffman-kódolva. ag-t az helyére állítjuk, és aktualizáljuk a másik négy mutatót 
is. A kódolást az algoritmus elejétől folytatjuk. 

A kétdimenziós algoritmus használatával egy sor kódolása a megelőző soron 
alapul, így elképzelhető, hogy egy sorban bekövetkező hiba kiterjed a többire is. 
Ezt megelőzendő, a szabvány rögzíti, hogy minden egydimenziós eljárással kódolt 
sort normál függőleges felbontás esetén legfeljebb 1, nagy felbontás esetén legfel- 
jebb 3 kétdimenziós algoritmussal kódolt sor követhet. 

A sorvégeket a Group 3 szabványban megismert EOL szimbólum jelzi, azon- 
ban attól függően, hogy vízszintes módban, vagyis az egydimenziós Group 3 sze- 
rint kódoltuk a sort, vagy az új kétdimenziós módszerrel, egy ! illetve 0 bit követi. 
Ez lehetővé teszi, hogy mindkét módszerrel elvégezve a kódolást az adó a rövidebb 
hosszúságot eredményezőt választhassa ki, majd a megfelelő EOL jellel jelezze a 
vevőnek, hogy melyik algoritmust használta. 


Tömörítő programok 


Bár az LZ77 algoritmus aszimptotikusan optimális, a gyakorlatban számos to- 
vábbfejlesztése ismeretes, amelyek célja a hatékonyság növelése. Például a nép- 
szerű PKZIP és ARJ tömörítőkben a (t,h,c) hármasokat nem fix, hanem változó 
hosszúságú kóddal kódolják. Egy másik variáció változtatható méretű kereső és 
előretekintő ablakot használ. Az LZ77 legegyszerűbb módosítása annak kiküszö- 
bölése, amikor egyetlen karaktert kódolunk egy hármassal. Ez egy jelzőbittel old- 
ható meg. Ezzel jelezzük, hogy nem egy hármast, hanem csak egy kódszót kül- 
dünk át. Szintén az LZ77 algoritmuson alapul a Unix GZIP tömörítője, a WINZIP, 
az LHARC, a PNG (Portable Network Graphics) képtömörítő formátum és a PDF 
dokumentumformátum belső tömörítése is. 

A Unix COMPRESS parancsa és a GIF (Graphics Interchange Format) képtö- 
mörítő eljárás az LZW algoritmust használja, mégpedig adaptív szótármérettel. 
A COMPRESS esetében kezdetben a szótárban 512 bejegyzésnek van hely, ez azt 
jelenti, hogy a kódszavak 9 bit hosszúak. Amikor a szótár betelik, méretét meg- 
duplázzuk, 1024 bejegyzésre. Ettől kezdve 10 bites kódszavakat viszünk át, és így 
tovább. A kódszavak lehetséges maximális hosszát a felhasználó állíthatja be 9 
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és 16 bit között (alapértelmezés: 16 bit). Ezt elérve, a COMPRESS eljárás stati- 
kus szótár alapú technikává válik. Ilyenkor a program figyeli a tömörítési arányt. 
Amennyiben ez egy bizonyos küszöb alá esik, a szótár már nem felel meg célja- 
inknak, ezért a szótárépítő folyamat kezdődik elölről. Így a szótár mindig tükrözi 
a forrás lokális jellemzőit. 

Szintén az LZW algoritmusra épül az ITU-T V.42bis tömörítési szabványa, 
amely a telefonhálózaton modemmel történő adatátvitelről szóló V.42 ajánlás ki- 
egészítése. Az algoritmus két üzemmódot definiál. Az egyik a transzparens mód, 
amikor az adatok tömörítetlen formában kerülnek átvitelre, a másik pedig a tömö- 
rített mód. A két üzemmódra azért van szükség, mert lehetséges, hogy az átvitelre 
kerülő adatokban nincs redundancia, ezért nem tömöríthető az LZW algoritmus- 
sal. Ebben az esetben a tömörítő eljárás még hosszabb kimenetet eredményezne, 
mint a bemenet (ez a helyzet például, ha egy előzőleg már tömörített fájlt akarunk 
átvinni a telefonvonalon). Tömörített üzemmódban a rendszer LZW algoritmust 
használ változó méretű szótárral. A szótár kezdeti méretét a kapcsolat létrejöttekor 
egyezteti az adó- és a vevőberendezés. A V.42bis ajánlás minimum 512 bejegyzés 
méretű szótárat tartalmaz, de 2048 méretűt tart ideálisnak. Az összes bejegyzés 
nem használható fel szabadon, mert van 3 kitüntetett szerepű kódszó. Ezek illetve 
jelentésük a következő: Enter Transparent Mode (üzemmódváltás: ettől kezdve a 
transzparens mód érvényes), Flush Data (a szótárépítést előről kezdjük), Increment 
Codeword Size (megduplázzuk a szótár méretét, s ezzel együtt eggyel növeljük a 
kódszavak méretét is). Az adatátvitel során bekövetkező hibák hatásának csök- 
kentésére az ajánlás meghatározza a maximális sztringméretet, amely szerepelhet 
a szótárban. Ezt 6 és 250 között az adó- és a vevőberendezés határozza meg a 
kapcsolat felépítésekor (alapértelmezés: 6). 

A Burrows-Wheeler-transzformáción alapul többek között a BZIP tömörítő- 
program. 


4.11. Feladatok 


4.1. feladat. Nevezzünk egy f : X — y?" kódot egyértelműen dekódolhatónak, ha 
az u — u] : : " uk ÉS V — V] : : : V4 üzenetekre (itt u] , . . . , Ux, VI , . . .  Vk E X) 


fin) fu) fiuk) — fv) f(v2) " f(ve) 


esetén u; — v; minden i-re. Tehát a 4.1. definícióval ellentétben csak azt követeljük 
meg, hogy bármely két különböző, azonos hosszúságú üzenet kódja is különböz- 
zön. Bizonyítsa be, hogy a két definíció ekvivalens! 


4.2. feladat. Legyen az X — (xi), . . . ,xa ) forrásábécén adott valószínűség-eloszlás 
olyan, hogy minden egyes elem valószínűsége 27! alakú, ahol i egy pozitív egész 
szám. Bizonyítsa be, hogy ilyen esetekben a bináris Shannon-Fano-kód optimális! 
Mutassa meg, hogy a bináris Huffman-kód átlagos kódszóhossza akkor és csak 
akkor egyezik meg az entrópiával, ha az eloszlás ilyen alakú! 
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RG b ART ET AE 


0.4; 0.35; 0.1;0.1;0.05. Mennyi az eloszlás entrópiája? Konstruálja meg a bináris 
Shannon-Fano-kódot erre az eloszlásra, illetve konstruáljon bináris prefix kódot az 
I; — [—1og p(x;) ] kódszóhosszakkal. Mekkora az átlagos kódszóhossz? 


4.4. feladat. Egy szabályos pénzérmét addig dobunk fel, amíg írást nem kapunk. 
Jelölje az X valószínűségi változó a dobások számát. Mennyi az X entrópiája? 


4.5. feladat. Tekintsük a 


P— (D1.... Di... Dj... Pn) 


illetve 

Dir DPj DitDj 
ERR E TEN 
eloszlásokat. Mutassa meg, hogy a p eloszlás entrópiája nem lehet nagyobb, mint 
a a eloszlás entrópiája! Mutassa meg, hogy a p eloszláshoz tartozó optimális (mi- 
nimális átlagos kódszóhosszúságú) kód átlagos kódszóhossza nem lehet nagyobb, 
mint a a eloszláshoz tartozó optimális kód átlagos kódszóhossza! 


g—(D1.---; senéibh) 


4.6. feladat. Bizonyítsa be, hogy ha X és Y független valószínűségi változók, ak- 
kor 
H(X,Y) —H(X)3-H(). 


4.7. feladat (Információs divergencia). Definiáljuk a p — (pi1,...,Dn) és a g — 
(gi, . . ..gn) valószínűségi eloszlás közötti , információs távolságot" a 


[ 
D(pla)— ) pilog— 
i—1 di 


kifejezéssel. (A mennyiséget gyakran információs divergenciának, relatív entrópi- 
ának, vagy Kullback-Leibler-távolságnak nevezik.) Lássuk be, hogy bármely két 
eloszlásra D(p I g) 2 0, és egyenlőség pontosan akkor teljesül, ha p — g. 


4.8. feladat. Bizonyítsa be, hogy H(p) — logn — D(p I u), ahol H(p) jelöli a p 
eloszlás entrópiáját, u pedig az egyenletes eloszlást az (1, . . . 1) halmazon. 


4.9. feladat. Bizonyítsa be a 4.2. tétel a) részét! 
4.10. feladat. Bizonyítsa be a 4.2. tétel b) részét! 


4.11. feladat (Shannon-Fano- és Huffman-kód). Legyen az X valószínűségi vál- 
tozó eloszlása (3 33D) Konstruáljon Huffman-kódot ehhez az eloszláshoz. 
Mutassa meg, hogy két különböző optimális kód is van, azaz, hogy az (1; 2; 3; 3), és 
a (2;2:2;2) kódszóhosszúságokkal adott mindkét kód optimális. Vonja le a követ- 
keztetést, hogy létezik olyan optimális kód, amelynek van a megfelelő Shannon— 
Fano-kódénál hosszabb kódszava is. 
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4.12. feladat (Huffman-kód kódszóhosszai). Tegyük fel, hogy a (pi, . . . , Pn) el- 
oszláshoz készítünk optimális bináris prefix kódot, ahol pi 5 p2 5: 5 DnP 0. 
Bizonyítsa be, hogy 


a) Hapi- 2, akkor a hozzá tartozó kódszó egy hosszúságú; 

b) Ha pi c 3 akkor a hozzá tartozó kódszó legalább kettő hosszúságú. 

4.13. feladat. Legyen XI, X , . .. egy független, azonos eloszlású, bináris valószí- 
nűségiváltozó-sorozat, amelyre PfX; — 1) — 1075. Adja meg a sorozat egy olyan 


változó szóhosszúságú blokk-kódját, melynek betűnkénti átlagos kódszóhossza ki- 


sebb, mint 5: Legyen a blokkméret m — 1024. 


4.14. feladat (Futamhossz kódolás). Legyenek X1,...,X, bináris valószínűségi 
változók. Jelölje R — (R1, . . . , Rk) az egyes szimbólumok előfordulásainak futam- 
hosszait az n hosszon. Tehát például az 1110010001111 sorozathoz R — (3,2,1,3,4) 
tartozik. Hogyan viszonyul egymáshoz H(X7, . . . ,Xn). H(R) és H(R,X,)? 


4.15. feladat (Bináris entrópiafüggvény tulajdonságai). Legyen a [0, 1] interval- 
lumon értelmezett Ah függvény (bináris entrópiafüggvény) értéke 


h(x) — —x1ogx—(1—x)log(1—x), 
ha x € (0,1), és h(0) — h(1) — 0. Mutassuk meg, hogy Ah rendelkezik a következő 
tulajdonságokkal: 
a) szimmetrikus az 2 pontra, és h (3) s1 
b) [0,1] minden pontjában folytonos; 
c) (0, 3) -ben szigorúan monoton növekvő; 


d) (0,1)-ben szigorúan konkáv. 

4.16. feladat. Adjuk meg a 36 darab a betűből álló karaktersorozat LZ78-kódját! 

4.17. feladat. Legyen X egy bájt értékű valószínűségi változó úgy, hogy 
P(X—ij—Dpi, i—0,1,...,255, 


és Y egy bájt értékű, egyenletes eloszlású valószínűségi változó. Ha X és Y függet- 
lenek, akkor számítsa ki az (X 3-Y) mod 256 entrópiáját! 


4.18. feladat. A bajnoki döntő az A és B csapat között addig tart, amíg az egyik 
meg nem nyer két meccset. Jelölje X valószínűségi változó a döntő mérkőzései- 
nek győzteseit (tehát X lehetséges értékei AA, ABA , BAA , BB, BAB, ABB), és Y a 
lejátszott összes meccs számát, azaz Y értéke 2 vagy 3. Feltéve, hogy a két csapat 
egyformán erős és a meccsek függetlenek, határozza meg H(X ) és H(Y ) értékét! 
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4.19. feladat. Tegyük fel, hogy egy p eloszláshoz tartozó Shannon-Fano-kód leg- 
hosszabb kódszava I5E hosszúságú, és ugyanezen eloszlás Huffman-kódjának leg- 
hosszabb kódszava MM. hosszúságú. Mutasson olyan eloszlást, amelyre SE 5 


IB. 3 800. 


4.20. feladat. Legyen a forrásábécé X — (A, B,Z,Y). Az adaptív Huffman-algo- 
ritmus használatával adja meg egy bináris kódját a BABY szónak! Minden lépés- 
ben adja meg a Huffman-fát a súlyokkal! 


4.21. feladat (Maximális entrópia). Tekintsük a pozitív egész számok halmazára 
koncentrálódó, m várható értékű diszkrét eloszlásokat. Mutassa meg, hogy a geo- 
metriai eloszlásnak maximális az entrópiája. 


4.22. feladat. Milyen kódolási következménye van a 4.21. feladatnak? 


4.23. feladat. Alkalmazzuk a Burrows-Wheeler-transzformációt a KALEVALA 
szóra mint blokkra. 


4.12. Megoldások 


4.1. megoldás. A 4.1. definícióból triviálisan következik a feladat definíciójának 
teljesülése, vagyis az azonosság igazolásához a másik irányt kell belátnunk. Indi- 
rekt bizonyítást alkalmazunk. Tegyük fel, hogy az állítás nem igaz, vagyis létezik 
olyan kód, amely megfelel a feladat definíciójának, viszont nem tesz eleget a 4.1. 
definíciónak. Ekkor léteznie kell két különböző u — 11 , . . . , u ÉS v—V!1 , . . . , V/n üze- 
netnek (u / v, k A m), amelyek kódszavai megegyeznek f(u) — f(u1)::: f(ur) — 
f(vi):"" f(vm) — f(v). Kódoljuk most a két üzenet mindkét lehetséges sorrendű 
konkatenáltját, vagyis uv-t és vu-t. 


f(uv) — fine fiu fe FG) — GY FO fin) es f(x) — f(vu). 


Bár uv és vu hossza megegyezik (k -- m), kódszavaik mégis azonosak, ellent- 
mondva ezzel a feladat definíciójának, amelyből kiindultunk. Indirekt feltevésünk 
hamisnak bizonyult, így a feladat definíciója valóban ekvivalens a 4.1. definícióval. 


4.4. megoldás. Az X valószínűségi változó geometriai eloszlású 2 paraméterrel, 
vagyis 


1/1 k—1 
px-- (3) -2t 9 keéezt. 


Az entrópia definíciója szerint 


H(X ) — "ze —-kjlogP(X —kj) — B el sál mi Sgr 
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4.5. megoldás. Az entrópia definíciója szerint 


n n 
H(p) ——) pxlogpr—— ) Pxlogpx — pilog pi — pjlogpj, 
út jé 
kéj 
L Pj, PitDj 
H(g) —— ) pilogp— 27109 
k—I 
kzi 
kéj 


Ennek felhasználásával és az f(x) : —xlogx bevezetésével 


IA JA 


H(p) 
PiDj, PitBj 
—pidógpi—pjlogpjp 727109 


Mi ér E Je 





PSA B ANT E BA 


-nazsÚ 
minden x 2 0-ra, az állítás igaz, hiszen a p; és pj valószínűségek kt 


4.6. megoldás. 
H(XY) zel x,y)logp(x,y) — 
-- EX pb9p y)logp(x)p(ly) — 
s -EEP(9e y)logp(x 1—L2Pt9p y)logp(y) — 
Xx 
- ZSÉss ) log p(x J-2P0 éz 3ő 
x 
-H(X)4 HG), 
ahol kihasználtuk az X és Y változók függetlenségét, hiszen ekkor p(x,y) — p(x)p(v). 


4.7. megoldás. 


[4 
D(pla) 2 Plog - 
tar ; 


n jó; 
5 Y pilog 2 2 
i—1 Di 


l 
l 
S 
saj 
té 
ZS 5 
sIS 
l 
6eN 
Sz 
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ahol kihasználtuk a logx 2 tt — 1) egyenlőtlenséget. 


4.8. megoldás. 


n . 
logn— D(p ] u) — logn— Y pilog E 
i—1 Li 


- logn — DF p:lg7 E 
i—1 F) 


n 
—1ogn— )  p:(logn--log p;) — 
ési 


4.9. megoldás. Az, hogy a H(X) entrópia nemnegatív, egyszerűen következik a 
definícióból. A felső korlát igazolásához pedig kombináljuk a 4.7. és a 4.8. felada- 
tok állításait. Ha az X valószínűségi változó eloszlása p, akkor 


H(X) — H(p) —1ogn—D(pl u) S logn, 
ahol kihasználtuk, hogy az információs divergencia nemnegatív. 


4.10. megoldás. Alkalmazza a 4.7. feladat eredményét úgy, hogy p legyen az X,Y 
együttes eloszlása, g pedig az X és Y szorzateloszlása. 


24 


4.11. megoldás. A Huffman-fa előállításához az első lépésben összevonjuk az 2 
és az T. valószínűségű szimbólumokat, s ezzel egy új, 3 valószínűségű csúcsot 


kapunk. A második lépésben három darab 2 valószínűségű csúcs közül kell ket- 


tőt összevonnunk. Attól függően, hogy ezek között szerepel-e az előző lépésben 
kapott csúcs vagy sem, két különböző fát kapunk eredményül: 





Val A 
Val — 


1] [1 
él B] El [l 


000 — 001 01 





- 


Mindkét kód optimális, kódszóhosszuk 2. A második kódnak van 3 hosszú kód- 
szava is, míg a Shannon-Fano-kódnak nincs, amint azt mindjárt látni fogjuk. Eh- 
hez a kumulált valószínűségek, bináris alakjuk és az ebből leolvasható kódszavak 
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a következők: 
w1 — 0 — 0.00000000-2 00 


ses] 
w2— 3 —0.01010101...2 — 01 
wz3— 5 —0.10101010...2 — 10 
w4 — 13 —0.11101010...2 — 11 


4.12. megoldás. 


a) Indirekt tegyük fel, hogy a p1-hez tartozó kódszó egynél hosszabb. Ez csak 
úgy lehet, ha a Huffman-fa konstruálásánál a pi csúcsot nem az utolsó lépés- 
ben vonjuk össze egy másik csúccsal. Legyen ez a másik csúcs pj. Ebben 
a közbülső összevonási lépésben kell, hogy legyen egy pi1-nél nagyobb való- 
színűségű csúcs (máskülönben a p1-hez tartozó csúcsot ebben a lépésben nem 
vonnánk össze a p j csúccsal), legyen ez p;, amelyre tehát p; 5 pi 5 2. A való- 
színűségek összegének 1-et kell adnia, ígyapj C1—pi—p: €1—2-: 5-nek is 
teljesülnie kell. A p; csúcs nem lehet levél, azaz nem tartozhat szimbólumhoz 
(hiszen ekkor nem pi lenne a legvalószínűbb szimbólum), vagyis egy korábbi 
lépés során összevonással keletkezett p;i és pi; csúcsokból. Az utóbbi két való- 
színűségre pj 5 pan és pj 5 piz teljesül, máskülönben nem a p;1-hez és p;p-höz 
tartozó csúcsokat vontuk volna össze. Az eddigieket összevetve: 


5 CPiCpi-patpa cpjtpj c2(1—2:5) — ő 


ellentmondásra jutottunk, vagyis hamis az indirekt feltevésünk. 


b) Indirekt tegyük fel, hogy a p1-hez tartozó kódszó egy hosszú. Ez csak úgy lehet, 
ha a Huffman-fa konstruálásánál a pi csúcsot az utolsó lépésben vonjuk össze 
egy másik csúccsal. Legyen ez a másik csúcs p j. A valószínűségek összegének 
1-et kell adnia, így pj—1—pi 5 1— Z s 5. A pj csúcs nem lehet levél, 
azaz nem tartozhat szimbólumhoz (hiszen ekkor nem p1 lenne a legvalószínűbb 
szimbólum), vagyis egy korábbi lépés során összevonással keletkezett p ji és 
Pj2 csúcsokból. Az utóbbi két valószínűség egyike, mondjuk pji - 5 5 2. 
Ezzel viszont ellentmondásra jutottunk, hiszen ekkor p ji 5 pi, vagyis ebben 
a lépésben biztosan nem pj1-et vontuk volna össze, tehát hamis az indirekt 


feltevésünk. 


4.13. megoldás. Egy 1024 hosszú blokkban lévő 1-esek száma (1024, 1075) para- 
méterű binomiális eloszlást követ, vagyis nagy valószínűséggel nem esik 1-es egy 
blokkba: 


P (nincs 1-es a blokkban) — (1 — 1079) 1 


Az 0.99898 

Így elegendően kis átlagos kódszóhosszúságú kódot kapunk, ha a csupa 0 blokkot 
1 biten, például a 0-val kódoljuk, a többi üzenetet pedig nem tömörítjük, hanem 
egy 1-es után változatlanul átküldjük. Ez a kód egyértelműen dekódolható, mert 
ha egy kódszó 0-val kezdődik, akkor azt a csupa 0 blokként dekódoljuk. A többi 
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kódszó pedig 1-essel kezdődik és 1025 bit hosszú, dekódolásuk pedig az 1-es után 
álló 1024 bit változatlanul hagyásával történik. A kód átlagos kódszóhossza: 


: aa aj 
ELO — 5 (17 (1— 107999 4. 1025. (1— (1— 1075) 98) ) 


1 
SK JÖT s 
S 100 


4.14. megoldás. Létezik egy invertálható g függvény úgy, hogy 
(R,Xn) — g(X,... Xn); 
ugyanis X,-ből és R-ből (X7), . . . , X) visszaállítható. A 4.2. tétel c) része miatt 


H(X1, . . . Xn) — H(R,X,) 


H(R) c H(X,...,X.). 


4.15. megoldás. 


a) Ez közvetlenül a definícióból következik, ugyanis egy [0, 1]-beli x pont 5-Te vett 
tükörképe éppen 1 — x, és h(1 — x) — h(x). 


b) Mivel a h(x) függvény a (0,1)-ben folytonos függvények összetételével kap- 
ható, ezért ott maga is folytonos. A végpontokban pedig: 





1 , 8. 
lim h(x) — lim (—xlogx— (1— xx) log(1 — x)) — lim —E "8 Tim ——— — 
x56o0 xo60 x—Ó0 F. x—0 —gz 
— limx — 0 — h(0), 
x6G0 


ahol a L Hospital-szabályt alkalmaztuk. Mivel a határérték megegyezik a he- 
lyettesítési értékkel, ezért a függvény folytonos a végpontokban is. (/h(1)-re 
hasonlóan kapható az állítás.) 


c) Ehhez határozzuk meg a függvény deriváltját: 





108: ir EMRÉ 1 
h (x) — —10gx—x— — 1-log(1 — 1 — x) — —]og(——1]. 
KÁSÁT KET VE öle E ETTE og (5 ) 


Mivel 4—132 1 a (0,5)-ben, ezért itt //(x) is pozitív, vagyis h(x) szigorúan 
monoton növekedő. 


d 


beürsz 


Ehhez pedig a második derivált vizsgálata szükséges: 


x 1 1 1 


h" deze enne e etet SZÉ . 
LN TEST ÍSÉNTTY ES 





Mivel mind az x, mind az 1 — x pozitív a (0,1) intervallumban, ezért a h"(x) 
negatív, vagyis h(x) konkáv. 
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4.16. megoldás. Az LZ78-kódolás egyes lépéseit bejelöltük a bemeneten: 
alaalaaalaaaalaaaaalaaaaaalaaaaaaalaaaaaaaa 


a kódoló kimenete és a szótárépítés pedig az alábbiakban követhető nyomon: 


a kódoló szótár 
kimenete index bejegyzés 
0, fla) 1 a 
a.fla) 2 aa 

(2, f(a)) 3 aaa 
(3, f(a)) 4 aaaa 
(4, f(a)) 5 aaaaa 
(5, f(a)) 6 —— aaaaaa 
(6, f(a)) 7  —— aaaaaaa 
(7, f(a)) 8 — aagaaaaaa 
(8, f(a)) 9  aaaaaaaaa 


4.17. megoldás. Az (X1-Y) mod 256 valószínűségi változó eloszlása megegyezik 
az Y valószínűségi változó eloszlásával, így az entrópiájuk is azonos: 


255 1 1 
H((X 1-Y ) mod 256) — H(Y) —— ) — log — 
2 256 "? 256 


- 10g256 — 8. 


4.18. megoldás. Abból, hogy mindkét csapat egyenlő eséllyel nyer meg egy mecs- 
cset, és a meccsek egymástól függetlenek, kiszámíthatjuk a két valószínűségi vál- 
tozó eloszlását: 


P(X — 44) — 
P(X — BB) — 


P(X — ABA) — 


1 1 
47 87 
2  P(X—BAB)— s, 
P(Y —2)— P(X—4AA)--P(X— BB) — 1, 
P(Y—3j—1—P(Y—2)— 7. 


Ezekből pedig az entrópia definíciója szerint: 

H(X ) — —2. 31o0g7—4-ilogg Z 3; 

H(Y) — —2-310g5 —1. 
4.19. megoldás. A Shannon-Fano-kódnak úgy keletkezhetnek hosszú kódszavai, 
ha két kumulált valószínűség nagyon közel esik egymáshoz, s így sokjegyű bi- 


náris tört alakban kell felírnunk őket ahhoz, hogy megkülönböztethetők legyenek 
egymástól. A p eloszlásnak legalább háromeleműnek kell lennie ahhoz, hogy a 
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Shannon-Fano-kódlás ne a triviális (0, 1) kódot eredményezze. Ez elegendő is: 
mutatunk egy alkalmas háromelemű eloszlást. 


BESTE ZETT zet] 
ahol k 2 2 egész szám. Ekkor a kumulált valószínűségek bináris tört alakban: 


wo — 0, wi—-—0.11...102, w2 —0.11...12 
k—1 k 


A megkülönböztethetőség érdekében az utóbbi két bináris törtet k jegy pontos- 
sággal kell leírni, így végül két k hosszú és egy 1 hosszú kódszót kapunk, tehát 
Es —k. A Huffman-kódolás algoritmusa szerint először a két 27" valószínű- 
séget vonjuk össze, majd ezt az 1—27-"t! valószínűséggel, így két 2 hosszú és 
egy 1 hosszú kódszót kapunk, tehát 174 7 2. A feltétel azt kívánja, hogy legyen 
I5E, —IH , —k—2 5 800, vagyis bármely k 5 802 egész szám esetén a fenti p 
eloszlás ilyen tulajdonságú. 


4.20. megoldás. A kódfa alakulását az alábbiakban követhetjük nyomon: 


1 
A A B Z Y 


(7) (1) (8. 
S 2 9 9 BO 
B B 
92 2 0 
A B Y A A 
4 € 080 
4 Y Z Y 


Feleltessük meg a bal éleknek a 0-t, a jobbaknak pedig az 1-et. A négy betűt 
minden lépésben az aktuális kódfa szerint kódoljuk. A kódfák megfelelő csúcsait 
feketével jelöltük. Ekkor a bináris kód: 01 00 01 011. 


ág? 


N 


4.21. megoldás. Az m várható értékű, vagyis kh paraméterű geometriai eloszlású 
valószínűségi változó eloszlása 


k—1 
1 1 
m-a (1-g) 2 kez 


m m 
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Legyen a tetszőleges eloszlás m várható értékkel. Ekkor 


H(p) —H(a) - E pdogpir E arlogan — 


(5 1-5) ) )- grloggk — 
pi [7 logm -- (k Dlog(1- ) jösz 


dk (—ogma k—1) jeg 5)) Ésa 
SZT gebe jegdobá e 


k—1 k—1 


-—-Y alog b 2 
k—1 Dk 


8 


II 
13 
ID1 
iso 
a. 
s 
o 
ga 


I 
mé 
4 e nyel 


bú 
Il 
za 


I 
D18 


Si 
Il 
fest 


50 


, 


ahol az utolsó lépésben a 4.7. feladat eredményét használtuk fel. 


4.22. megoldás. Adott várható értékű és pozitív egész értékű véletlen betűk esetén 
a legnagyobb átlagos kódszóhossz geometriai eloszlása esetén adódik. 


4.23. megoldás. A KALEVALA szó ciklikus eltoltjainak lexikografikus rendezése 
után a következőt kapjuk: 


KALEVALA AKALEVAÍL 
ALEVALAK ALAKALEIV 
LEVALAKA ALEVALAIK 
EVALAKAL EVALAKAIL 
VALAKALE "7 KALEVALJA[— 
ALAKALEV LAKAL E VIA 
LAKALEVA LEVAL A KIA 
AKALEVAL VAL AK ALLE 


vagyis a transzformáció eredménye az LVKLAAAE blokk és az 5, hiszen ebben a 
sorban jelenik meg az eredeti blokk. 


4.13. Összefoglalás 


Ebben a fejezetben a veszteségmentes tömörítési módszereket tekintettük át. [2, 3, 
6, 8, 11] Megállapítottuk, hogy elegendő az egyértelműen dekódolható kódok egy 
könnyen kezelhető osztályával, a prefix kódokkal foglalkoznunk. Definiáltuk a tö- 
möríthetőség elvi korlátját, a Shannon által bevezetett entrópiát. [4, 5] Kimondtuk, 
hogy az egyértelműen dekódolható kódok átlagos kódszóhossza nem lehet kisebb 
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az entrópiánál. A Shannon-Fano-kód segítségével felső korlátot adtunk az átlagos 
kódszóhosszra. Kiterjesztettük a betűnkénti kódolást blokk-kódolássá. Megismer- 
kedtünk egy optimális tömörítési módszerrel, a Huffman-kódolással. Ezután az 
aritmetikai kódolás következett, amely nagy blokkméret esetén is hatékonyan al- 
kalmazható, valamint lehetővé teszi a valós idejű dekódolást. [12] 

Az adaptív tömörítési eljárások közül a Lempel-—Ziv-algoritmusokat (LZ77, 
LZ78, LZW) és az adaptív Huffman-kódot vettük sorra. Az egyre népszerűbb 
Burrows-Wheeler-transzformáción alapuló tömörítési módszer is terítékre került. 
Végül a faxkódolás példája és néhány, a gyakorlatban használt tömörítőprogram 


ismertetése zárta a fejezetet. [12] 
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5. fejezet 


Veszteséges forráskódolás 


Az eddigi vizsgálataink során megköveteltük, hogy a kódolt üzenet egyértelműen 
visszaállítható legyen. Ezt a követelményt sok gyakorlati probléma esetén fel kell 
adnunk, illetve jobb, ha feladjuk. Veszteséges forráskódolás esetén nem cél a töké- 
letes reprodukció, vagyis megengedünk torzítást, de továbbra is gazdaságos, tömör 
reprezentációt szeretnénk. A mindennapi alkalmazások közé tartozik a beszéd, 
zene, kép, videó tömörítése. Kép tömörítése esetén például nyilván felesleges meg- 
követelni, hogy a reprodukált kép képpontról képpontra megegyezzen az eredeti 
képpel, csupán azt szeretnénk, szemmel ne érzékeljünk romlást. 

Ebben a fejezetben olyan forráskódolási eljárásokat vizsgálunk, ahol az üze- 
net tökéletes reprodukciója helyett csak azt várjuk el, hogy a dekódolt üzenet az 
eredetit valamilyen értelemben hűen — de nem feltétlenül pontosan — adja visz- 
sza. Ebben a feladatban két célfüggvényünk van. Az egyikkel mérjük a tömörítést, 
a másikkal a torzítást, vagyis azt, hogy a tömörítés utáni reprodukció mennyire 
hasonlít az eredetire. Két, egymásnak ellentmondó célunk van, nevezetesen ala- 
csony értéken tartani mind a tömörítési arányt, mind a torzítást. A probléma úgy 
kezelhető, ha az egyiket, például a torzítást egy előírt értéken rögzítjük, és emellett 
minimalizáljuk a tömörítési arányt. Az elvi határ ekkor is tisztázható, de az elvi 
határt közelítő kódok ma még nem ismertek. Ugyanakkor léteznek a gyakorlatban 
hatékony veszteséges tömörítő eljárások. Ilyennel találkozhatunk például a mobil- 
telefóniában. Az emberi beszéd digitális átvitele esetén például a folytonos jelből 
mintavételezéssel és kvantálással olyan jelet kapunk, amely már véges értékkész- 
letű. Mégis azt mondhatjuk, hogy ezzel semmit sem vesztettünk, hiszen például 
a digitális központon keresztülhaladó telefonkapcsolat ugyanolyan jó minőségű 
(vagy jobb), mintha az analóg/digitális — digitális/analóg átalakítást elhagynánk. 
A lényeg az, hogy a forrásnak csak a számunkra lényeges jellemzőit tartjuk meg, 
és így — megelégedve a közelítő visszaállítással — úgy kódolhatjuk, hogy a ka- 
pott jel továbbítása már kisebb költséggel megoldható legyen. (Vagyis pl. bináris 
kódot használva, a forrás kevesebb biten reprezentálható.) 

A következőkben tárgyalandó kódok közös jellemzője lesz, hogy ún. blokkból- 
blokkba kódok, azaz a forrásábécé betűinek állandó hosszú blokkjait állandó hosz- 
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szú kódszavakkal kódoljuk. Feltesszük, hogy adott az üzenetek és a kódjaik között 
egy ún. hűségmérték, ami azt méri, hogy egy adott kódszót milyen mértékben te- 
kinthetünk egy adott üzenet reprodukciójának. Vizsgálataink középpontjában az a 
kérdés áll, hogy kódolással milyen mértékben tömöríthetjük a forrás által kibocsá- 
tott jelet, ha azt akarjuk, hogy a kód a forrást adott átlagos hűséggel reprezentálja. 

Sajnos torzítást megengedő forráskódolás esetén a tömöríthetőség elvi határai- 
nak a jellemzése általában nem konstruktív, ugyanakkor a gyakorlati feladatokban 
mégis kell tömöríteni, tehát megemlítünk néhány gyakorlati eljárást is: kvantálást, 
prediktív kódolást, beszéd-, hang-, kép- és videotömörítést. 


5.1. Kvantálás 


A digitális módszereket a hírközlés szinte minden területén alkalmazzák. Minden 
esetben, amikor az adatok feldolgozása digitálisan történik, a folytonos értékkész- 
letű jelet véges értékkészletűvé kell alakítani. Az alkalmazott, tehát konstruktív 
digitalizálás legegyszerűbb módja a skalár (egydimenziós) kvantálás. 


Skalárkvantálás 


Legyen X egy valós értékű véletlen jel, az egydimenziós kvantáltján egy véges 
értékkészletű O : R — R leképezéssel kapott 0(X) diszkrét valószínűségi változót 
értünk. A 0(-) függvényt kvantálónak nevezzük. A kódolás hűségét egy speciális 
hűségmértékkel, a D(0) négyzetes torzítással mérjük: 


D(2) —E((X— 9(X))?). (5.1) 


Természetesen más hűségmértéket (torzításmértéket) is választhattunk volna, de a 
gyakorlatban ez a legelterjedtebb. 

Legyen a 0 kvantáló értékkészlete az (x1,x2, . . . , w ) halmaz, ahol az x;-k va- 
lós számok. Az x; számokat kvantálási szinteknek nevezzük. Vegyük észre, hogy 
90-t egyértelműen leírják az (x1,.x2, . . . xv) kvantálási szintek és a Bs—(xeR : 
09(x) — xi). 1— 1,...,N kvantálási tartományok. A B; halmazok persze diszjunk- 
tak és egyesítésük kiadja az egész valós egyenest. A kvantáló működése ezért a 
következőképp írható le: 


9(2)—x;, haxeB;. 


Tegyük most fel, hogy a kvantálót leíró adatok közül most csak az (Xx1,Xx2, . . . ,xn b 
kvantálási szinteket ismerjük. Ekkor az ilyen kvantálási szinteket használó kvantá- 
lók közül a legkisebb torzítású az a 0 kvantáló, amelyre 


B; — (x : lx— xi] S lx—xjl, j— 1,2,...,N) (5.2) 


(legközelebbi szomszéd feltétel), ahol a döntési szabályt úgy tehetjük egyértel- 


PONT 4 


művé (vagyis a B;-ket diszjunktakká), hogy ha egy adott x kettő vagy több B;-be 
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tartozna, akkor a legkisebb indexűhöz soroljuk. Az adott kvantálási szintekkel 0 
valóban legkisebb négyzetes torzítású, hiszen ha 0" egy másik kvantáló ugyan- 
ezen kvantálási szintekkel, akkor egy tetszőleges x-re 0(x) — x; (tehát x c B;) és 
97(x) — x; valamely 1 Ci, j C N indexekre, de ekkor (5.2) szerint 


kk— xi S lx— xi, 


tehát 
GOES azo) 

teljesül minden x c R-re, amiből D(0) £ D(297) következik. Ezért a követke- 
zőkben csak az (5.2) szerinti kvantálókkal foglalkozunk. Az ilyen kvantálók B; 
kvantálási tartományai nagyon egyszerűen néznek ki. Az általánosság megszo- 
rítása nélkül tegyük fel most, hogy a kvantálási szintek nagyság szerint rendezve 
vannak, vagyis xi Ca x2 2 : : ": Ca xy. Ekkor, bevezetve az y; — HZ , 1-1... 4—1 
jelölést, az (5.2) szerinti B; halmazok a következő intervallumok lesznek: 


By — (—os,yi], B; (yzagyil; 125: 4-1, Bu — (9N-1, 99). 


Egy ilyen, N — 5 szintű kvantálót ábrázol az 5.1. ábra. 





5.1. ábra. Kvantáló N — 5 kvantálási szinttel 
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Tekintsük most azt a feladatot, hogy adottak a (B;) tartományok, és ehhez ho- 
gyan válasszuk meg az x; kvantálási szinteket. A teljes valószínűség tétele szerint 


E ((X— 0(X)) IX € B;) PfX € B;) — 


I 
Mz 


Il 
ja 


E ((X— 0(x))") 


E((X— xi)? IX € B;) PfX € Bi), 


I 
Mz 


Il 
peN 


amiből következik, hogy az optimális x; kvantálási szint a B; tartomány súlypontja, 
ugyanis a Steiner-tétel miatt tetszőleges c konstansra 


E((X—cY? IX e B;) -E((X—E(X IxeB)ÍIx e B) H(E(XIXE€B)—c). 
Jelölje f(x) az X sűrűségfüggvényét, ekkor a négyzetes torzítás a B; tartományon, 
azaz 


1 
————— — (x—x) f(x) dx — E((X—x)? IX e B;) 
roz] 


akkor minimális, ha 


J xf(x) dx 
xi; E(XIX e B;) 


ami épp a súlypont. 


A L10yd-Max-algoritmus 


Optimális kvantáló tervezésénél azt a technikát alkalmazzuk, hogy az átlagos 
torzítás csökkentéséhez a bemenetet pontosabban közelítjük a nagyobb valószínű- 
ségű tartományokban, míg a kis valószínűségű tartományokban rosszabb közelítést 
engedünk meg, mint egyenletes kvantálás esetén. Ezt úgy tehetjük meg, hogy a na- 
gyobb valószínűségű helyeken a kvantálási intervallumokat kisebbnek választjuk. 
Amennyiben az intervallumok száma konstans, ez egyben azt is jelenti, hogy a ki- 
sebb valószínűségű helyeken nagyobb intervallumhosszakkal dolgozunk. (Ez ha- 
sonlatos ahhoz, hogy veszteségmentes tömörítés esetén az átlagos tömörítési arány 
javításához a kisebb valószínűséggel előforduló forrásszavakhoz hosszabb kódsza- 
vakat rendelünk.) 

Egy adott X valószínűségi változóhoz keressük az N szintű, optimális 0 kvan- 
tálót. Feladatunk az xi C x2 C ::: c xy kvantálási szintek és a 0(X) függvény 
meghatározása úgy, hogy a D(0) négyzetes torzítás minimális legyen. Bebizo- 
nyítható, hogy egy optimális kvantáló kielégíti az alábbi két szükséges feltételt, 
amelyeket együtt Lloyd-Max-feltételnek nevezünk: 
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1. Legközelebbi szomszéd feltétel: 
A kvantálási intervallumok határait éppen a kvantálási szintek által kijelölt 
szakaszok felezőpontjai adják, vagyis 


HEZ X;.t-Xi41 
Ji 2 , 


2. Súlypont feltétel: 
Minden x; kvantálási szint a B; kvantálási intervallumnak a súlypontja, azaz 


J xf(x) dx 
Xxj— ——— — i—1,...,N. 


f fed" 
B; 


A L1oyd-Max-feltételt kielégítő kvantálót LIoyd-Max-kvantálónak nevezzük. 
Ha egy kvantáló nem elégíti ki a LIloyd-Max-feltétel bármelyik részét, akkor le- 
hetséges egy olyan kvantálót készíteni, amelynek négyzetes torzítása kisebb, te- 
hát egy nem L1loyd-Max-kvantáló nem lehet optimális, de létezik nem optimális 
L1oyd-Max-kvantáló is. 


5.1. példa. Legyen az X valószínűségi változó az (1, 2, 3,4) halmazon egyenletes 
eloszlású. Pontosan 3 féle 2-szintű LIoyd-Max-kvantálót alkalmazhatunk erre: 





93(1)—1; — 92(2)—92(B)—92(4) —3 
05(4)—4 — 93(1)— 23(2) — 938) —2 
93(1)— 932) — 1.5; — 23(B8)— 93(4) —3.5 


03 és 05 négyzetes torzítása egyaránt 0.5, míg 03-é 0.25. Annak ellenére, hogy 
mindhárom L1oyd-Max-kvantáló, csak 93 optimális. 











A LIoyd-Max-algoritmus: 
A kvantálót egyértelműen jellemzik az x; kvantálási szintek és a B; — (y;-1, yi] 
tartományok. Célunk a szintek és az intervallumhatárok javítása lépésről lépésre. 


1. Vegyünk fel egy közelítést a kvantálási szintekre. 


2. Optimalizáljuk a kvantálót a kvantálási szintek szerint, vagyis határozzuk 
meg az intervallumhatárokat a legközelebbi szomszéd feltétel kielégítésével. 


3. Számítsuk ki, hogy mennyivel csökkent a torzítás, és ha ez egy előre megha- 
tározott küszöbértéknél kisebb, akkor készen vagyunk. 


4. Optimalizáljuk a kvantálót az imént kapott intervallumokhoz, vagyis alkal- 
mazzuk a súlypont feltételt, és folytassuk az algoritmust a 2. ponttól. 
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Egyenletes kvantáló 


A technikai nehézségek elkerülése végett a további vizsgálataink során feltesz- 
szük, hogy a kvantált X valós valószínűségi változó eloszlása abszolút folytonos 
f sűrűségfüggvénnyel, valamint azt is feltesszük, hogy f a [—4A, A] intervallumban 
folytonos, a [—A, A] intervallumon kívül nulla értékű függvény. Az f-et felhasz- 
nálva a kvantáló négyzetes torzítása a következőképp írható fel: 


578 N 
DV- f 6—ODYr9a E [ 6— 7 f(n)de. 
— 00 7 B; 


A legegyszerűbb kvantáló az egyenletes kvantáló. A Ow N-szintű egyen- 
letes kvantálót úgy kapjuk, hogy az X lehetséges értékeinek halmazát, vagyis a 
[—A,A] intervallumot, N egyenlő nagyságú intervallumra osztjuk (ezek a B; in- 
tervallumok), és a kvantálási szinteket ezen intervallumok közepén helyezzük el. 
Formálisan tehát a kvantálási szintek 


0169 ——A21— S 


ha 
A A 
7At26—UDg XS-ATÜT S lz.asN 


a kvantálási intervallumok hossza pedig 


AN -N 


A következő tétel megmutatja, hogy az N szintű egyenletes kvantáló négyzetes 


8 4 
torzítása nagy N esetén közelítőleg E. 


E E" ARTÉ - 


5.1. tétel. Ha az X valószínűségi változó f sűrűségfüggvényére a fenti feltételek 
teljesülnek, akkor az X N-szintű egyenletes kvantálásának D(ONw) torzítására a 


D(ON) 1 


lim AZ — — 


No A 12 
aszimptotikus összefüggés teljesül. 


A kvantáló kimenete egy valószínűségi változó, amely függvénye a bemenet- 
nek. Ezért a 4.2. tétel c) pontja szerint a kvantáló kimenetének entrópiája (vagy 
röviden: a kvantáló entrópiája) nem lehet nagyobb, mint a bemenet entrópiája, 


azaz H(ON(X)) £ H(X). A következő tétel egy aszimptotikus összefüggést ad az 
egyenletes kvantáló szintjeinek száma és entrópiája között. 
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5.2. tétel. Tegyük fel, hogy az X valószínűségi változó f sűrűségfüggvényére a 
fenti feltételek teljesülnek, valamint a 


A 


H()—— f fedlogf0 dx 


—A 


integrál véges. Ekkor az X N-szintű egyenletes kvantálásának H(ON(X ) ) entrópi- 
ájára a 
lim (H(ON(X)) 4 log) — H(). 


N6oo 


aszimptotikus összefüggés teljesül. 


A tétel tehát azt állítja, hogy a kvantálási szintek N számának növekedésével az 
egyenletes kvantáló entrópiájára a H(ON(X)) s H(f) —logAw közelítés érvényes. 
A H(f) mennyiséget differenciális entrópiának hívjuk, mely a finom, egyen- 
letes kvantáló kimenetének a tömöríthetőségét méri, azaz valamilyen értelemben 
az eloszlás terjedelmét. Ha az 5.1. és 5.2. tételeket összevetjük, akkor könnyen 


belátható a 
Jim (H(ON(X)) log v/ 12D(Ow)) — H(f) 


aszimptotikus összefüggés az egyenletes kvantálás torzítása és entrópiája között. 
Ezt úgy is fogalmazhatjuk, hogy 


H(ON(X)) s H(f) — log VI2D(Ow) 


nagy N-ek, vagyis finom (kis lépésközű) kvantálás esetén, ami egy hasznos köze- 
lítés lehet egyenletes kvantáló tervezésénél. 


Kompanderes kvantáló 


A kvantálásra a gyakorlatban általában olyan alkatrészek érhetők el, melyek- 
kel egyenletes kvantálást valósíthatunk meg. Ebben az esetben a kvantált értéket 
kell tömöríteni. Gyakran ezt nem akarjuk megtenni, sokkal inkább azt szeretnénk, 
hogy rögzítve a kvantálási szintek számát, N-et, minimalizáljuk a négyzetes torzí- 
tást. Ezt úgy tesszük, hogy a kvantálandó jelet egy monoton növekedő függvény- 
nyel, a kompresszorral a [5 5]-be képezzük, ott alkalmazunk egy egyenletes 
kvantálót, és a kvantált értéket a kompresszor inverzével (az expanderrel) visz- 
szatranszformáljuk (5.2. ábra). (kompander — kompresszor -t expander) 

A leggyakrabban alkalmazott nemegyenletes kvantálók a logaritmikus komp- 
resszor karakterisztikát használó eszközök, amelyek a távközlő hálózatokban a be- 
szédkódolást végzik a "60-as évek óta. Azért alkalmaznak logaritmikus kvantálást, 
mert az emberi beszédben a kis amplitúdójú jelek az érthetőség szempontjából 
rendkívül fontosak, ezért a lehető legnagyobb pontossággal kell ezeket kvantálni, 
míg a nagy amplitúdójú jelek esetében a túl nagy jelszintet kell megakadályozni. A 
beszédkódolásban kétféle kompander használatos: a u-law és az A-law. Az előbbi 
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kompresszor kódoló dekódoló expander 





sssázászatatte ezé szi zásztsámi 5 kvantáló sálsziszlsálászá sa táászáaásá ei N 





5.2. ábra. Kompanderes kvantáló 


az Egyesült Államokban, Kanadában és Japánban elterjedt. Kompresszor ill. ex- 





pander függvénye: 
In (1 --ulx]) 
S SZÜSETSER TELL —1c£x2£1 
1 
:T ee 
G. 9 — 5 ((1--nh— 1) sgnx —1€x£1 


A u paraméter értékét általában 255-nek választják. 
Az Európában, Afrikában, Ausztráliában és Dél-Amerikában alkalmazott A- 
law kompandere az alábbi (A — 87.06): 








Tai 0£Zbléz 
GA (x) úi 1--In]Ax] 1 u €1 
Trma Sgnx,  £ kh] c 
1 
mem, 0£ ki c TTBA 
—1 ns 
Gy (x) — el 


xI(1--n4)—1 


7— Sgnx, Enya 2 IxI £1 


Az alapvető különbség az A-law és a u-law karakterisztika között, hogy az A- 
lawnak kicsit szélesebb a dinamikatartománya (értékkészletének terjedelme), míg 
a u-lawnak egy kicsit kisebb az alapzaja. Az 5.3. ábrán látható a két kompresszor 
függvény. A különbség csak a 0-hoz közeli tartományban figyelhető meg, ezért 
a [—0.1,0.1] intervallumban ábrázoltuk a őket (a vízszintes tengelyhez közelebb 
haladó görbe az A-law, míg a távolabbi a u-law). 

A finom, egyenletes kvantáló négyzetes torzítása kiterjeszthető a kompanderes 
esetre. Jelölje G(x) a kompresszort és 
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0.67 












-0.1 — —0.08 — -0.06  —0.04 — —-0.02 .( ( ( ( 0.1 








—0.6 1 


5.3. ábra. A-law és u-law kompresszor függvények 


a deriváltját, pontosabban 
1 Xx 
G(x) — őn ! g(z) dz, 


és g(x) egy sűrűségfüggvény. Legyenek 


2 0 1 N 2 


a transzformált intervallumban a kvantálási határok, yj— yi , — 4" — 4, és 
y—G 1(y)), i—1,2,...,N—1 
a valós kvantálási határok. Ekkor az i-edik kvantálási lépcső nagysága 
A; — Yi — Yi -1. 


Megmutatható, hogy a közel optimális kompresszor függvényt az X változó 
f(x) sűrűségfüggvényéből a következő módon lehet kiszámítani: 


Xx 


JT (2dz 


G(x) ——— 1 ———— — — — . (5.3) 
SJ S (2) dz 
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Vektorkvantálás 


A forrás kimenetének többdimenziós eloszlását felhasználva kisebb torzítást 
érhetünk el ugyanakkora bit/minta arány mellett vektorkvantálással. A forrásszim- 
bólumok egyenkénti kvantálása helyett (ahogyan azt skalár kvantáló esetén tettük) 
sorozatokat, vektorokat képezünk belőlük, s ezeket együtt kvantáljuk. Tekintsük 
például a kétdimenziós esetet. Skalár kvantáló alkalmazása esetén — egymásra 
merőleges tengelyeket feltételezve — téglalap alakú tartományokat kapunk a sík- 
ban, míg vektorkvantálóval bármilyen szabálytalan síkidom alakú (például kör) 
tartományok kialakíthatók. 

Tegyük fel, hogy emberek magasság- és tömegadatait szeretnénk feldolgozni. 
Ezek például 100 és 200 cm, illetve 20 és 120 kg közé esnek. Ha összesen 6 
biten szeretnénk kvantálni az adatainkat, és skalár kvantálót alkalmazunk, akkor 
3-3 bit jut a magasságra és a tömegre egyaránt. Az intervallumokat 8 egyenlő 
részre osztva, azok közepén kijelölve a szinteket (a szemléletesség kedvéért két- 
dimenziós koordinátarendszerben ábrázolva az így lehetséges kvantálási pontokat: 
magasság-testtömeg koordinátájú pontok), egy (22 kg, 197 cm) adatpárt ugyan- 
olyan torzítással kvantálunk, mint egy (70 kg, 180 cm)-est. Holott az előbbi adatpár 
nyilvánvalóan nem fog előfordulni, míg az utóbbi gyakori lesz. Vektorkvantálás al- 
kalmazásával megtehetjük, hogy például a statisztikai vizsgálatok szerint leggya- 
koribb magasság-testtömeg egyenes környezetében biztosítunk kis torzítást, míg a 
gyakorlatilag lehetetlen adatpárok esetében megengedünk nagyobb torzítást is. 

Legyen X egy d-elemű forrásvektor f(x) sűrűségfüggvénnyel. A d-dimenziós 
vektorkvantáló egy 0(x) függvény, amely az x c IR" bemenetet az XI, xX2 , . . . XN € 
R! vektorok egyikébe képezi le. A kvantálót egyértelműen jellemzi az N kime- 
neti vektor, és a hozzájuk tartozó Bi, Ba, . . . , Bu. tartományok, amelyek R! egy 
partícióját alkotják (diszjunktak, és lefedik R-t), tehát 0(x) — x;, ha x € B;, 
i—-1,2,...,N. A torzítás vizsgálatára továbbra is a négyzetes torzítási mértéket 
fogjuk használni: 


N 
D(0) —EIX—009?—-E / Ix—silP79 dx 


IL EB, 
ahol [/ - I] az euklidészi norma. 

Vektorkvantáló tervezése adott torzítási mértékre ismert bemeneti eloszlás ese- 
tén a B; tartományok és az x; kimeneti vektorok meghatározását jelenti. Míg egy- 
dimenziós esetben ez viszonylag egyszerű problémát jelentett, hiszen csak a valós 
egyenes intervallumai jöhettek számításba, addig most még B;-k alakjára is vég- 
telen sok lehetőségünk van. A torzítás szempontjából optimális megoldás B;-k 
alakjára a kör, a gömb, illetve magasabb dimenziókban a hipergömb lenne. Sajnos 
ezekkel az alakzatokkal azonban nem lehet hézagmentesen lefedni (csempézni) a 
teret, pedig minden lehetséges bemeneti vektorhoz pontosan egy kimeneti vektort 
kell hozzárendelnünk. Kétdimenziós esetben jó közelítést jelent a síkot lefedő sza- 
bályos hatszögminta, amely az 5.4. ábrán látható. 
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5.4. ábra. Hatszögminta 


Egy optimális vektorkvantáló kielégíti az alábbi két szükséges feltételt, melyek 
az egydimenziós eset kézenfekvő általánosításai: 


1. R! partíciója Dirichlet-partíció, vagy más néven tartományai Voronoi-tarto- 
mányok, azaz 


B; — (x: Ix—sill S Ilx— xi, vis 


2. A kvantált vektorok a hozzájuk tartozó tartományok súlypontjai: 


f xf(x) dx 
kez i—1,...,N. 


f(x) dx 
B; 


A L1oyd-Max-algoritmus általánosításaként vektorkvantálás esetén a Linde- 
Buzo-Gray-algoritmus használatos: 


1. Vegyünk fel egy közelítést a kvantálási vektorokra. 


2. Optimalizáljuk a kvantálót a kvantálási vektorok szerint, vagyis határozzuk 
meg a tartományokat a Voronoi-tartományokra vonatkozó feltétel kielégíté- 
sével. 


3. Számítsuk ki, hogy mennyivel csökkent a torzítás, és ha ez egy előre megha- 
tározott küszöbértéknél kisebb, akkor készen vagyunk. 


4. Optimalizáljuk a kvantálót az imént kapott tartományokhoz, vagyis alkal- 
mazzuk a súlypont feltételt, és folytassuk az algoritmust a 2. ponttól. 


A Linde-Buzo-Gray-algoritmussal tervezett vektorkvantálónak általában nincs 
megfigyelhető belső struktúrája. Ez a , véletlenszerű" szerkezet megnehezíti ugyan 
a kvantálási folyamatot, de biztosítja a vektorkvantáló közel optimális torzítását. 
Több megoldás létezik struktúrált, de ugyanakkor kedvező torzítással rendelkező 
vektorkvantáló tervezésére. 

A fa-struktúrájú vektorkvantáló alapelve az, hogy az L — K" kimeneti vek- 
tor közül a közel optimálisat egy d mélységű és K-adfokú fa segítségével keressük 
meg. Egy szint egy bejegyzése a következő szint egy K darab vektort tartalmazó 
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5.5. ábra. Fa-struktúrájú vektorkvantáló 


halmazára mutat. Így összesen legfeljebb d[1ogK1 összehasonlítást kell végrehaj- 
tanunk a teljes keresés K" összehasonlítása helyett. Az 5.5. ábra a d — 2, K — 3 
esetet szemlélteti, ahol az első koordináta szerint alkalmazunk egy skalár kvantá- 
lót, majd részintervallumonként külön tervezünk egy skalár kvantálót a második 
koordinátára. 

Néhány alkalmazásban, mint például a beszédfeldolgozásban, a bemeneti jel 
dinamikatartománya széles skálán változhat. Az ehhez szükséges nagy kódtáblá- 
ban való keresés helyett először normáljuk a vektort, majd külön-külön kvantáljuk 
a normalizált vektort, és a normalizáló faktort. A normalizáló faktor a dinamika- 
tartománybeli helyet, vagyis az energiát határozza meg, míg a normalizált vektor a 
jel formáját, így ezt a technikát energia-forma vektorkvantálónak nevezzük. 

Osztott vektorkvantálás esetén a forrásvektorokat független osztályokba so- 
roljuk térbeli tulajdonságuk alapján. A különböző osztályokhoz különböző vek- 
torkvantálókat tervezünk. Ez a technika előnyös például a képtömörítésben, ahol 
az éleket tartalmazó illetve nem tartalmazó tartományok két eltérő osztályt alkot- 
nak. 

Többszintű vektorkvantálás esetén több menetben dolgozunk. Először egy 


24 


alacsony bitarányú kvantálóval előállítjuk a bemenet durva közelítését, majd lé- 
pésről lépésre mindig az eredeti bemenet és az előző szint által előállított közelítés 
eltérését (a kvantálási hibát) kvantáljuk. 

A képek több nagyobb, közel egyszínű , foltot" tartalmaznak, így jól működik 
az a megoldás, hogy a képpontok (blokkonkénti) átlagát egy skalár kvantálóval 
kvantáljuk, majd a képpontokból kivonva ezt az átlagot egy vektorkvantálót alkal- 


mazunk. 
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5.2. Transzformációs kódolás 


Ebben a szakaszban olyan technikát mutatunk be, amelynek segítéségével a forrás 
kimenetét összetevőire bonthatjuk, és ezen összetevőket saját, jellemző karakte- 
risztikájuk szerint kódoljuk. 

A transzformációs kódolás a vektorkvantálás egy speciális esete. Az opti- 
mális vektorkvantáló nagy számítási bonyolultságú, míg a struktúrált vektorkvan- 
táló nem optimális. A transzformációs kódoló megkísérli a kettőt ötvözni: először 
transzformálja a jelsorozatot, majd a transzformált sorozat komponenseit kvantálja 
skalár kvantálókkal. Ez így együtt egy struktúrált vektorkvantáló. Ugyanakkor az 
egyes komponenseket más és más finomságú skalár kvantálóval kvantáljuk, tehát 
a vektorkvantáló reprodukciós vektorai egy olyan többdimenziós rácsot alkotnak, 
melyet megkaphatunk egy többdimenziós téglatest eltolásaival. 

A transzformációs kódolás lépései a következők: 


1. Osszuk fel a kódolandó (xj) jelsorozatunkat k hosszú diszjunkt blokkokra. 
Minden egyes blokkra alkalmazzunk egy invertálható transzformációt, mely 
az (yi) sorozatot eredményezi. 


2. Kvantáljuk a transzformált sorozatot skalárkvantálóval. Az alkalmazott kvan- 
tálási stratégia függ a kívánt bitsebességtől, a transzformált sorozat külön- 
böző részeinek eltérő statisztikai tulajdonságaitól és a megengedhető torzí- 
tástól. 


3. Kódoljuk a kvantált értékeket valamilyen kóddal. 


A továbbiakban csak lineáris transzformációval foglalkozunk. Ekkor a transz- 
formált sorozat a következő alakban áll elő: 


k 
yi — Dai jxj 
I 


Az (yi) sorozat elemeinek eloszlása a sorozaton belül elfoglalt pozíciótól, i-től 
függ. A transzformált sorozat elemei eloszlásának terjedelmét a 6? szórásnégyzet- 
tel mérjük. Ez fogja befolyásolni, hogy hogyan kódoljuk a transzformált sorozatot. 

Az eredeti sorozat helyreállítható a transzformált sorozatból az inverz transz- 


formációval: B 
Xj — )3 agyi 
i—1 
Ugyanezek mátrixos alakban: 
y—-— Ax 
x—-A ly 


ahol A és A7! kx k-as mátrixok, melyek i, j-edik eleme a; j illetve dija 
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A képtömörítésnél használt kétdimenziós esetben a transzformáció a követke- 
zőképp néz ki: 
Y-AXAT 


X — ATYA, 


ami akkor igaz, ha ún. ortonormált transzformációt alkalmazunk, amelynél a transz- 
formáló mátrix inverze megegyezik a transzponáltjával: A7! — AT. 

Szerencsés esetben az y egyes komponenseinek nagyságrendje különböző, te- 
hát az egyes kvantálók különböző számú kvantálási szintet használnak. Ez a bit- 
allokáció problémája. Tegyük fel, hogy a k hosszú blokk kódolására M bitet szá- 
nunk úgy, hogy a j-edik kvantáló M ; bitet használhat, azaz kvantálási szintjeinek 
száma 25. A skalár kvantáló entrópiája a H(f) differenciális entrópiától függ, 
amely normális eloszlás esetén 5 log (2mec6?) (lásd az 5.6. feladatot). Az X lineáris 
transzformáltjának a komponensei nagy k blokkméret esetén a centrális határel- 
oszlás tétel miatt közelítőleg normális eloszlásúak, tehát indokolt, hogy a j-edik 


kvantáló 
M; -citlogo(;) (5.4 
bitet kapjon. Ekkor 
k—1 
2. (c--logo(r)) — M, 
J—0 


ahonnan a c konstans kiszámolható: 


k-1 
M— Y logo(Y;) 
j—0 


k 


! ánéásmó 


A gyakorlatban a diszkrét koszinusz transzformáció (DCT) a legkedveltebb, 
felhasználja a JPEG és az MPEG álló- illetve mozgóképtömörítési szabvány is. k x 
k-as A mátrixának első sorában csupa 7 elem áll, míg az ez alatti elemek az 


2 2j—1)(1i— 1m 
di j vess ( 7 z 3 ) 
képlettel számolhatók. 


Az egyszerűbb diszkrét Walsh-Hadamard-transzformáció (DWHT) kisebb 
számításigényű, de általában nem biztosít olyan jó tömörítési hatásfokot, mint a 
DCT. A transzformáló mátrixot a következő rekurzióval kapjuk: 


A k—1 A k-1 
Ap G 2 2 
2. fs —A2r-i ) 


A kiinduló mátrix pedig: 
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5.6. ábra. Egy 16 x 16-os fekete-fehér kép, valamint DCT és DWHT transzfor- 
máltja 










































































































































































5.7. ábra. Egy 16 x 16-os fekete-fehér szimmetrikus ábra, valamint DCT és DWHT 
transzformáltja 


Így például: 
(A AY f/11 
5 ia 8 tev ci ( if) 
A mátrixok kielégítik az AA — 2 feltételt, és a transzformáció során ennek a 
normalizáltjával dolgozunk. A 8 x 8-as DWHT transzformáló mátrixa így a követ- 


kező: 
1 1 1 1 111 


1 
1—-i 1-1 1-1 1-Ii 
1 1-1-1 1í 1-1-i 
Ég ih sdek as dőlsat d 
oz eggbt 4 d istetabi 
1 
1 
1 





1 1—-1-1 1-1] 1 
1—1—-1-1-1 1l 1 
—1-1 1-1] 1 1-1 


Az 5.6. ábrán egy 16 x 16 képpontból álló fekete-fehér kép és annak DCT il- 
letve DWHT transzformáltja látható. Míg az eredeti mátrix csak 0 és 1 értékeket 
tartalmaz, a transzformált mátrixokban valós számok szerepelnek, amelyeket szür- 
keárnyalatokkal jelenítettünk meg. Az 5.7. ábrán egy átlós vonalakból álló képen 
láthatjuk ugyanezt. Megfigyelhető, hogy mindkét transzformáció jól kihasználja a 
kép ismétlődéseit, szimmetriáit, hiszen a transzformáltakban sok az egyforma elem 
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(fehér négyzet). Ebben a speciális példában a DWHT sokkal jobban teljesít, mint 
a DCT, hiszen a transzformáltnak mindössze 4 eleme különbözik a többitől. 

A transzformációs kódolás leggyakrabban használt megvalósítása a részsávos 
kódolás. Alapötlete, hogy a jelet nem a teljes sávszélességében kódoljuk, hanem 
frekvenciasávonként. 

A részsávos kódolás egy gyakorlati megvalósítása látható az 5.8. ábrán. A for- 


PZNYZd 


rás kimenetét egy szűrőbankon visszük keresztül, amely a jelet az összetevő frek- 
venciasávokra bontja szét. A szűrők kimenetén kapott frekvenciasávok lehetnek 
átlapoltak és nem átlapoltak (a teljes sávot egyszeresen lefedők). Ezután mintavé- 
telezzük az egyes szűrők kimeneteit. A mintavételi törvény szerint az elemi sávszé- 
lességek kétszeresével kell ezt megtennünk a visszaállíthatóság érdekében. Tehát a 


PV ee 


minták számát csökkenthetjük a szűrők kimenetén, hiszen itt kisebb a sávszélesség, 


ze 


mint a szűrőbank bemenetén volt. Ezt decimálásnak vagy alulmintavételezésnek 
(downsampling) nevezzük. A decimálás mértéke a szűrő bemenetén illetve kime- 
netén lévő sávszélességek arányától függ. A decimálás után következik a kódolás. 
A kódolt jelet átküldjük a csatornán, majd annak túloldalán dekódoljuk. Felülmin- 
tavételezzük (upsampling), vagyis a minták közé megfelelő számú O0-t illesztünk, 
így állítva vissza az eredeti másodpercenkénti mintaszámot. Végül egy szűrőban- 
kon vezetjük keresztül a jelet, amely elvégzi a fordított transzformációt, s így a 
kimeneteit összegezve kapjuk a végleges jelet. 

Felmerülhet a kérdés, hogy miért jó ez az egész? Az emberi érzékszervek, 
akár a hang, akár a (mozgó)kép érzékelés terén frekvenciafüggőek. Ezt a tényt úgy 
használhatjuk ki, hogy az érzékelés szempontjából fontos frekvenciasávok ponto- 
sabb rekonstrukciójára törekszünk, míg a kevésbé fontos sávokban nagyobb torzí- 
tást engedünk meg. Másrészt az egyes szűrők kimenetének szórása eltérő, ennek 
megfelelően rendre különböző számú bitet allokálhatunk a kvantáláshoz az (5.4) 


egyenlet szerint, és ezzel lényeges tömörítést érhetünk el. 


5.3.  Prediktív kódolás 


A prediktív kódolás alapelvét először egy speciális esetben vezetjük be, amikor a 
predikció az előző minta. Ezt hívjuk különbségi kódolásnak. 

A különbségi kódolás alkalmazása egy adatforrásra akkor előnyös, ha a szom- 
szédos minták közti eltérés nem túl nagy. Például digitális képek esetén a szom- 
szédos képpontok közötti eltérés viszonylag kicsi, hacsak nem vagyunk egy él kö- 
zelében. 

A következő példa rávilágít, hogy mit nyerhetünk a különbségi kódolással a 
memóriamentes kódoláshoz képest, vagyis amikor a mintákat egymástól függetle- 


nül kódoljuk. 


5.2. példa. Legyen egy 8 bites intenzitású digitalizált kép 8 egymást követő pixe- 
lének értéke: 
147, 145, 141, 146, 149, 147, 143, 145. 
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5.8. ábra. Részsávos kódoló 


3. kódoló 
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Ha ezeket pontról pontra kódoljuk, egyenként 8 biten, akkor ehhez 64 bit szük- 
séges. Vegyük azonban a kódolás előtt ezen intenzitások különbségét oly módon, 
hogy az első képpont értékét változatlanul hagyjuk, majd minden további pixel 
esetén azt az értéket tároljuk, amelyet az előző képpont intenzitásához hozzáadva 
a saját intenzitását kapjuk. Esetünkben ez a következő lesz: 


147, —2, —4, 5, 3, —2, —4, 2. 


Világos, hogy az eredeti sorozat helyreállítható a második sorozatból. A kapott 
sorozatot egyszerűen vezessük át egy összegzőn. 

Először 8 biten átküldjük a dekódolónak, hogy a különbségeket hány biten 
fogjuk ábrázolni (ez függ a legnagyobb megjelenítendő értéktől), majd szintén 8 
biten átküldjük az első (változatlan) adatot. Esetünkben a legnagyobb különbségi 
érték az 5, ezért 4 biten fogjuk átküldeni a differenciákat (1 előjelbit -- 3 adatbit). 
Így összesen 8--8-- 7.4 — 44 bitet használunk fel, ez 30 99-kal jobb tömörítési 
arányt jelent. 


A különbségi kódolás hatékonyságát növelhetjük predikció alkalmazásával, 
vagyis a múltból megbecsüljük a jelent, majd a jelen és a predikció különbségét 
kódoljuk. Ezt az elvet alkalmazza a veszteségmentes JPEG képtömörítő (lásd ké- 
sőbb). 

Sajnos veszteséges tömörítés esetén nem ilyen egyszerű a helyzet: nem igaz, 
hogy adott hibahatáron belül helyreállítható ily módon az eredeti sorozat. Legyen 
a forrás kimenete: 


6.2, 9.7, 13.2, 5.9, 8, 7.4, 4.2, 1.8. 
Képezzük a különbségeket: 
6.2; 3.5; 3.5, —7.3, 2.1, —0.6, —3.2, —2.4. 


A veszteséges tömörítéshez használjunk egy 7 szintű kvantálót a következő kime- 
neti szintekkel: —6, —4, —2, 0, 2, 4, 6. A kvantált értékek: 


6, 4, 4, —6, 2, 0, —4, —2. 

Ha most megpróbáljuk az eredeti sorozatot helyreállítani a szokásos módon, a 
6, 10, 14, 8, 10, 10, 6, 4 

értékeket kapjuk. Az eredeti és a rekonstruált sorozat között az eltérések: 


0.2, —0.3, —0.8, —2.1, —2, —2.6. 





Látható, hogy egyre hosszabb sorozatokat vizsgálva a hiba folyamatosan nőhet. 
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Vizsgáljuk meg ezt az észrevételt általános esetben! Legyen a bemeneti soroza- 
tunk (xn). A különbségi sorozat (da), ahol d, — xn — xn—1. A különbségi sorozatot 
kvantáljuk, s így kapjuk (d, )-ot: 


ak 


dn — O(dn) -dn Tt dn 


ahol g, a kvantálási hiba. A vevő oldalán a rekonstruált sorozatot, (Xn1-ot úgy 
kapjuk, hogy a kvantált különbséget hozzáadjuk az előző értékhez: 


Xn kes; Xi TH dn 
Tételezzük fel, hogy az adó és a vevő ugyanarról az értékről indul, tehát xg — £0. 
A kvantálás és a rekonstrukció első néhány lépése: 


d1—x1—Xxo 

di — O(d1) —d1--ai 
£1—£9-4di-xo-kdi-4gi—xi-a1 

d? — x2 —Xx1 

da — 0(d2) —d2--a2 

D-frd —x1-7-giTtd2tg2—-—x21- gi 82. 


Tovább folytatva, az n-edik lépés után: 


n 
Xn Xn )3 dk- 
k—1 
Tehát a kvantálási hiba felhalmozódik. 

Vegyük észre, hogy a kódoló és a dekódoló különböző adatokon hajt végre mű- 
veleteket! A kódoló az eredeti sorozat különbségeit generálja, míg a dekódoló a 
kvantált különbségekkel dolgozik. Áthidalhatjuk ezt a problémát, ha az adót és a 
vevőt rákényszerítjük, hogy azonos adatokon dolgozzanak. A vevő az eredeti (xnht 
sorozatról csak a rekonstruált (xn) sorozatból szerezhet információt. Ez utóbbi 
viszont az adónak is rendelkezésére áll, így a különbségképzés műveletét a követ- 
kezőképpen módosíthatjuk: 

d, 7 Xn XA 1- 


2 


Ezt felhasználva az előző lépéseink így módosulnak: 


d1 —- X1—.Xo 

di — 0(d) —di4a1 

£1 —£9-kdi—xo-kdi-bgi—xi-bdi 
da — x2—5 

da — 0(d2))—d2 4-2 

9 -f-1d-f-bd-tg—xtg2. 
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5.9. ábra. DPCM 


Általánosítva: 
Xn 7 Xn dn; 
tehát a kvantálási hiba nem akkumulálódik. 
Az a célunk, hogy minél kisebb különbségi értékeket kapjunk. Ehhez x, érté- 
két nem csak £5.-1 segítségével becsülhetjük, hanem a rekonstruált sorozat előző 
értékeinek függvényével is. Az ezt megvalósító eszköz a prediktor: 


ak 


Pn — f(Xn-1,Xn—2, ... ,X0). 
Itt a különbségképzés a 
dn — Xn — Dn 


kifejezéssel történik. Továbbá a kvantált különbség 


ak 


dn — dn 4 dn; 


és a reprodukció 





Xn —dnTt Dn. 
Az eredő torzítás ebben az esetben sem halmozódik. Az eddig elmondottakat meg- 
valósító rendszer az 5.9. ábrán látható, az eljárás neve különbségi impulzuskód 
moduláció (differential pulse code modulation, DPCM). Az eljárást a Bell La- 
boratóriumban dolgozták ki a "40-es évek végén, és főként a beszédkódolásban 
terjedt el, így széleskörűen használják a telekommunikációban. 

A különbségi kódoló rendszerek, mint a DPCM, azzal érik el céljukat, vagyis 
a tömörítést, hogy csökkentik a bemeneti sorozat szórását és dinamikatartományát. 
A szórás csökkentése attól függ, hogy a prediktor mennyire jól tudja becsülni a 
következő szimbólumot az előzőleg rekonstruáltakból. 

A bemeneti jelek tulajdonsága változhat az időben. Ehhez tud alkalmazkodni 
az adaptív DPCM (ADPCM) rendszer. Az alkalmazkodás történhet a kódoló be- 
menetére érkező jel (xn) alapján, ekkor előre adaptív módszerről beszélünk, vagy 
a kimenet (65) alapján, ez a hátra adaptív módszer. Előre adaptív esetben, mi- 
vel a dekódolónak nem áll rendelkezésére a kódoló bemeneti jele, ezért a rend- 
szer módosított paramétereit is át kell vinni. Hátra adaptív esetben ilyen probléma 
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nem merül fel, hiszen a kódoló kimenetét megkapja a dekódoló. Az előre adaptív 
módszer megköveteli, hogy puffereljük a bemenetet, ezzel késleltetést viszünk a 
rendszerbe, ami például beszédkódolás esetén nem szerencsés. Ugyanis egyetlen 
kódoló-dekódoló pár esetén még elviselhető a késleltetés mértéke, azonban egy 
telefonkapcsolatban számos DPCM kódoló és dekódoló vehet részt (pl. a nagy tá- 
volság miatt), s ekkor az eredő késleltetés már jelentős lehet. 

Előre adaptív kvantáló esetén a bemenetet blokkokra bontjuk, minden lépésben 
kiszámoljuk az aktuális blokkra optimális kvantáló paramétereit, és átküldjük a de- 
kódolónak kiegészítő információként. Beszédkódolás esetén a tipikus blokkhossz 
16 ms, ami 8000 minta/másodperc esetén 128 mintát jelent, míg képtömörítés so- 
rán általában 8 x 8 pixeles blokkokat használnak. 

A gyakorlatban inkább a Jayant-kvantáló néven ismert hátra adaptív módszert 
használják. Itt minden egyes kvantálási intervallumhoz egy szorzótényezőt rende- 
lünk, amely a kvantáló belső (origóhoz közeli) tartományainál 1-nél kisebb, míg 
a külső részeken 1-nél nagyobb. A tényezők általában az origóra szimmetrikusan 
helyezkednek el. Annak függvényében, hogy az aktuálisan kvantált érték melyik 
intervallumba esik, ezen intervallum szorzótényezőjével korrigáljuk a lépésköz ér- 
tékét. Ha a kvantált érték kicsi, akkor finomítjuk a lépésközt, míg nagy értékek 
esetén nagyobb lépésközt fogunk alkalmazni. 


5.3. példa. Az 5.10. ábra egy 8 szintű kvantálót ábrázol. Legyenek az egyes inter- 
vallumok szorzótényezői: Mi — Mg — 1.2, M2 — M7 — 1, M3 — M§ — 0.9, M4 — 
M;5 — 0.8, a kezdeti lépésköz pedig Ag — 0.5. A kvantálandó sorozat: 0.1, —0.2, 
0.2, 0.1, 0.2, 0.5, 0.9, 1.5, 1.0, 0.9, .... Az első bemeneti adatot a kezdeti 0.5 
lépésközzel az 5. szintre kvantáljuk, a kimenet értéke 0.25 lesz, a hiba 0.15. Így az 
új lépésköz Az — M5Ag — 0.8 : 0.5 — 0.4 lesz. A következő adat a 4. intervallumba 
esik, most a lépésköz 0.4, tehát a kimeneten —0.2 jelenik meg, és a lépésköz új ér- 
téke Az — M4A1 — 0.32. Így folytatva az eljárást, az eredmény táblázatos formában 
az 5.11. ábrán látható. 

Vegyük észre, hogyan alkalmazkodik a kvantáló az inputhoz. Kezdetben a 
bemeneti értékek kicsik, ezért a lépésköz folyamatosan csökken, ezzel egyre jobb 
közelítést biztosítva. Majd nagyobb bemeneti értékek következnek, így a lépésköz 
is növekszik. Megfigyelhetjük, hogy a hiba értéke viszonylag nagy az átmeneti 
szakaszban. 








A kvantálási lépésközt a konkrét megvalósítások természetesen véges pontos- 
sággal ábrázolják, ezért el kell kerülnünk azt a szituációt, hogy a lépésköz folyama- 
tos csökkentésével, az nullává váljon. Be kell vezetnünk egy Amin értéket, amelynél 
nem választjuk kisebbnek a lépésközt. Hasonló okok miatt egy A max is szükséges. 

A DPCM egyszerűbb formája, a delta moduláció (DM). Ez egy 1 bites (2 
szintű) kvantálóval rendelkező DPCM. A 2 szintű kvantálóval csak --A kimeneti 
értékeket állíthatunk elő, vagyis (egy folytonos jel mintavételezésével adódó) két 
minta közötti eltérést csak ezzel reprezentálhatjuk. Amennyiben egy adott beme- 
neti sorozatban a minták közötti különbség nagyon eltér A-tól, a kimeneten egy 
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A 2A 3A bemenet 


—A/2 
I 
285 —3A/2 
I 
I 
szá —5A/2 
I 
I 
—l , —7A/2 


5.10. ábra. Jayant-kvantáló 8 kvantálási szinttel 


szint szint 


n An bemenet száma értéke hiba új lépésköz 
0 0.5 01 5 0.25 0.15 Aj — M5Ag 
1 0.4 —0.2 4 —0.2 0.0 Az — M4Ai 
2 0.32 02 5 0.16 0.04  A3— M5A; 
3 0.256 01 5 0.128 0.028 A4— M5Az 
4 0.2048  —0.3 3 —0.3072  —0.0072 As; — M3A4 
5 0.1843 01 5 0.0922 — —0.0078 A§ — M5A5 
6 0.1475 0.2 6 0.2212 0.0212 A7 — M6Ag 
7 0.1328 0.5 8 0.4646 . —0.0354 Ag — MgA7 
8 0.1594 09 8 0.5578  — —0.3422 Ag — MgAg 
9 0.1913 1.5 8 0.6696 — —0.8304 A1g — M8Ag 
10 0.2296 1.0 8 0.8036 0.1964 A11 — M8A10 
11 0.2755 09 8 0.9643 0.0643 A12 — M8A11 


5.11. ábra. A 5.3. példa végeredménye 


221 
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5.12. ábra. Lineáris delta moduláció 


állandó torzítás jelentkezik. Ezt gyakoribb mintavételezéssel ellensúlyozhatjuk. A 
DM rendszerekben a legnagyobb előforduló frekvenciának nem csak a kétszere- 
sével, hanem akár a százszorosával is mintavételeznek a torzítás alacsony szinten 
tartása végett (például jó minőségű A/D átalakítókban, ,,1 bites átalakítók"). 

A fix lépésközű kvantálót tartalmazó DM rendszereket lineáris delta modulá- 
tornak nevezzük. Az 5.12. ábrán (folytonos vonal) megfigyelhetjük, hogy torzítás 
két okból jelentkezik. Azokon a részeken, ahol a bemenet hozzávetőleg konstans, 
a kimenet oszcillál A-val (granular regions). Ezt a hibát A csökkentésével kompen- 
zálhatjuk. Azokban a tartományokban, ahol a bemenet túl gyorsan növekszik vagy 
csökken, a kimenet nem tud lépést tartani (slope overload regions), ezért ezen a A 
lépésköz növelésével segíthetünk. Látható, hogy a kétféle torzítás egyidejű javítása 
éppen ellentétes feltételeket támaszt A-ra vonatkozóan, ezért fix lépésközzel nem 
oldható meg. 

Ezen segít a lépésköz adaptív megválasztása. A közel konstans tartományok- 
ban kis lépésközt választunk, míg gyors változások esetén növeljük A-t. A bemenet 
lokális tulajdonságához alkalmazkodó rendszerek közül az egyik legkedveltebb a 
konstans faktorral alkalmazkodó delta modulátor (constans factor adaptive delta 
modulation, CFDM). A legfontosabb feladat annak megállapítása, hogy éppen mi- 
lyen jellegű tartományban vagyunk. A közel állandó részeken a kvantáló kimenete 
majdnem minden mintánál előjelet vált, míg a gyorsan változó intervallumokban a 
kimenet előjele állandó. A legegyszerűbb esetben csak a megelőző mintáig tekin- 
tünk vissza a tartomány jellegének eldöntésére. Jelöljük s,-nel a delta modulátor 
n-edik időegységbeli , lépését" és A,-nel az itt érvényes lépésközt (sn — HA,). Ek- 
kor az n -- 1-edik időegységbeli lépésközt a következőképpen kapjuk: 





AZ M1A), ha sgnsn — sgn5n- 1 
nr MDAn, ha sgnsn A SgnSn-1 


ahol I c Mi — iv ca 2. Az 5.12. ábrán szaggatott vonallal ábrázoltuk az adap- 
tív delta modulátor kimenetét, amelynek paraméterei: Mi — 1.8, Amin — 0.254Ao, 
Amax — 2.5Ao. A memória növelésével, vagyis például 2 mintára visszatekintve 
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tovább csökkenthető a torzítás: 


MIA), ha sgnsn.-2 Á sgnSn-1 A Sgn Sn 
M2A,n, ha sgnsn.2 — sgnsn-1 Á sgnsn 
M3A,, ha sgnsn.-2 Á sgn5Sn-1 — sgnsn 
M4A.n, ha sgnsn-2 — sgnsn-1 —Sgnsn 


An4-1 tsz 


ahol pl. Mi — 0.4 c M2 — 0.9 — M3 — 1.5 c M4 — 2.0. 

A beszédkódolásban kívánatos, lassabb alkalmazkodást tesz lehetővé a foly- 
tonosan változó meredekségű delta moduláció (continuously variable slope delta 
modulation, CVSD). Ez csökkenti a közel konstans esetben elkövetett hibát, vi- 
szont növeli a gyors változások esetén bekövetkező hibát. Az adaptív lépésköz 
számítására szolgáló képlet: 


Ani ti BA,, -F OnAo, 


ahol B egy 1-nél alig kisebb konstans, 0, értéke pedig 1, ha a kvantáló legutóbbi K 
darab kimeneti értékéből J darabnak azonos volt az előjele, egyébként 0. Tehát egy 
K hosszú ablakon keresztül figyeljük a bemenetet, és ebből következtetünk annak 


2 4 


lokális viselkedésére. Jellemző értékek: J — K — 3. 


5.4. Alkalmazások 


Beszédtömörítés 


A beszédtömörítő eljárások területén erőteljes fejlődés volt megfigyelhető az 
elmúlt évtizedekben. A minél alacsonyabb bitsebesség mellett minél jobb minő- 
ségű hang átvitelének igénye főleg a vezetékes távközlés, majd újabban a mobil 
távközlés részéről fogalmazódott meg. Kezdetben az eddigiekben megismert álta- 
lános célú eljárásokat alkalmazták. 

Az ismertetésre kerülő megoldásokat a nyilvános távközlőhálózatokban hasz- 
nált impulzuskód modulációhoz (Pulse Code Modulation, PCM) hasonlítjuk. Ha- 
tározzuk meg ennek bitsebességigényét! A , telefon-minőség" viszonylag kis sáv- 
szélességgel is beéri. Az analóg 3.4 kHz sávszélességű beszédjelből (némi rátartás- 
sal) másodpercenként 8000 mintát veszünk, és 8 bittel kvantáljuk, így 8000 - 8 — 64 
kbps-ot kapunk. Az 1972-ben megjelent G.711-es távközlési szabvány logaritmi- 
kus PCM kódolást használ, azaz kompanderes kvantálót (mint erről az 5.1. sza- 
kaszban szó volt: 4-law, A-law). 

A beszédtömörítéssel szemben támasztott megnövekedett kommunikációs 
igény elkerülhetetlenné tette egy új eljárás kifejlesztését, amelynek kisebb a bit- 
sebességigénye, de emellett jó minőségű, jól érthető beszédátvitelt tesz lehetővé. 
A kívánalmaknak megfelel az 1984-es G.721 szabvány, amely 32 kbps-os átviteli 
sebességével megduplázta a kiépített vonalakon folytatható beszélgetések számát. 
A G.721 adaptív különbségi kódoláson (ADPCM) alapul. Kihasználja az emberi 
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beszéd különböző időpontokban megfigyelt mintái közötti hosszú- és rövidtávú 
korrelációt (2-20 ms). A kvantálási lépcsők méretét az előző minták alapján vál- 
toztatja. A kódoló késleltetése kisebb mint 2 ms, és számos központon keresztül- 
haladó jel esetén is megfelelő minőséget biztosít. 

A mobiltelefóniában további tömörítésre van szükség. Ezt részben a fenti el- 
járások finomításával, részben más technikával érhetjük el. Ezek a módszerek az 
emberi hangképzés modelljét használják fel. A hangszalagok zöngét (alaphangot) 
képeznek, majd a hangképző út modulálja azt. A mesterséges hangképzéshez te- 
hát elő kell állítanunk egy gerjesztő jelet, és ezt kell modulálnunk a hangképző út 
szerepének megfelelően. 

A kódoló a beszédet szegmensekre osztja, és minden szegmensre meghatá- 
rozza a gerjesztő jelet, valamint a hangképző utat modellező szűrő paramétereit. 
A szintetizált beszédtömörítők esetén a gerjesztő jelet nem küldjük át, csak né- 
hány paraméterét, és ebből a dekódoló előállítja a megfelelő gerjesztő jelet, majd 
ezzel hajtja meg a saját szűrőbankját, amelynek paramétereit a kapott adatoknak 
megfelelően állította be. 

A tömörítendő beszéd minden szegmensét egy sávszűrő bankon vezetjük ke- 
resztül, amelyet analízis szűrőnek nevezünk. Az analízis szűrő kimenetének ener- 
giáját meghatározott időközönként (általában másodpercenként 50-szer) mintavé- 
telezzük, és átküldjük a dekódolónak. (Az emberi beszéd kb. 20 ms-os egysé- 
gen belül stacionáriusnak tekinthető.) Digitális esetben az energiát közelíthetjük a 
szűrő kimeneti jelének átlagos négyzetösszegével, míg analóg esetben a jel burko- 
lógörbéjének mintavételezésével érhetünk célt. Az energia meghatározásával egy- 
idejűleg azt is el kell dönteni, hogy az adott beszédszegmens zöngés vagy zöngétlen 
hangot tartalmaz-e. A zöngés hangok álperiodikus viselkedést mutatnak, az alap- 
harmonikus frekvenciáját hangmagasságnak hívjuk. A kódoló a becsült hangma- 
gasság értékét szintén átküldi a dekódolónak. A zöngétlen hangok zajszerű szerke- 
zetet mutatnak. A szintetizált beszédtömörítést tekinthetjük egy olyan vektorkvan- 
tálásnak, ahol a kvantálást az egyes szegmensek Fourier-transzformáltjainak a te- 
rében végezzük. 

A dekódolóban a hangképző szerveket sávszűrő bankkal modellezzük, ez a 
szintézis szűrő, amely megegyezik az analízis szűrővel. Annak megfelelően, hogy 
zöngés vagy zöngétlen hangot kell-e visszaállítani, a szintézis szűrő bemeneteként 
egy, a hangmagasságnak megfelelő periodikus jelgenerátort vagy egy álzajgenerá- 
tort használunk. A jel amplitúdóját a becsült energiának megfelelően állítjuk be. 

A hangképző út egy változtatható méretű rezonátorüregként fogható fel, ezért 
számos rezonanciafrekvencia lehetséges, de nem az összes frekvenciaösszetevő 
egyformán fontos. A rezonanciafrekvenciákat formánsoknak nevezzük. A for- 
máns frekvenciája hangonként eltérő, de férfiak esetén 200-800 Hz, míg nők ese- 
tén 250-1000 Hz közötti tartományba esik. Ezt a jellemzőt használja fel a formáns 
beszédkódoló, amely meghatározza a formánsok értékének közelítését (általában 4 
formáns megkülönböztetése elegendő), valamint ezek sávszélességét, majd a vevő 
oldalon a gerjesztő jelet hangolható szűrőkön vezetik keresztül, amelyeket a for- 
mánsok frekvenciájára és sávszélességére hangolnak. 
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ze 


Lineáris prediktív kódolás (LPC) esetén egy lineáris szűrőt használunk, mely 
az (ai) együtthatók optimális megválasztásával az előző minták alapján próbál 
becslést adni az aktuális mintára úgy, hogy a négyzetes torzítás minimális legyen: 

M 
xn — ) ajxn-it Gen, (5.5) 
i-i 
ahol G a szűrő energiája (gain), e, pedig a különbségi jel. 

Az LPC-nek két változata van. Az egyszerűbb, nem-szintetizált esetben (ez 
még , hagyományos" eljárásnak tekinthető abban az értelemben, hogy nem hasz- 
nálja fel az emberi beszéd modelljét) közvetlenül a különbségi jel mintavételezett 
értékét (€,) küldjük át a vevőnek. Ekkor (5.5)-ben x, helyén az 5.3. szakaszban 
megismert módon a reprodukált X£, értékek állnak. 

A jobb tömörítésű módszer a vevőoldalon szintetizált beszédet állít elő, vagyis 
csak a szűrő (a;) paramétereit és a G energiát kell átküldenünk, és ebből gene- 
rálja a vevő a saját szűrőjével a beszédet úgy, hogy az €, sorozatot helyettesíti egy 
mesterséges gerjesztő jelsorozattal. 

Az LPC-10 algoritmus esetén a kódolónak a következő adatokat kell átkül- 
denie: zöngés vagy zöngétlen-e a hang (1 bit); hangmagasság, amelyet 60 lehet- 
séges értékre kvantálnak egy logaritmikus karakterisztikájú kompanderes kvantáló 
segítségével (6 bit); hangképző utat modellező szűrő paraméterei, amely zöngés 
esetben 10-edrendű, míg zöngétlen esetben 4-edrendű predikciót jelent (31 ill. 10 
bit a szűrő együtthatóira és 5 bit az energiára). A szűrő nagyon érzékeny az 1-hez 
közeli együtthatók hibájára. Mivel az első néhány együttható általában 1-hez kö- 
Zeli, ezért a szabvány nemegyenletes kvantálást ír elő ezekre. A zöngétlen esetben 
fennmaradó 21 bitet hibavédelemre használják. A szinkronizációhoz szükséges 1 
további bittel együtt ez összesen 54 bitet tesz ki. Egy szegmens hossza 22.5 ms, 
tehát az LPC-10 algoritmus 2.4 kbps átvitelét teszi szükségessé. 

A dekódoló zöngés szegmens esetén a szűrő gerjesztőjeleként egy előre tárolt 
hullámformát használ. A hullámforma 40 minta hosszúságú (a mintavételezés 8 
kHz-cel történik), ezért a hangmagasságtól függően csonkolja vagy nullákkal tölti 
ki. Ha a szegmens zöngétlen, akkor a szűrőt egy álvéletlen generátor jelével hajtja 
meg (fehér Gauss-zaj). Az LPC-10 kódoló érthető, de nem túl jó minőséget biztosít 
2.4 kbps bitsebességen. Az, hogy csak kétféle gerjesztőjelet alkalmaz a szűrő be- 
meneteként, gépi jellegű hangot eredményez. Ez különösen zajos környezet esetén 
jelent problémát, ugyanis a kódoló a környezeti zaj miatt a zöngés szegmenseket is 
zöngétleneknek fogja nyilvánítani. 

A természetesen hangzó beszéd előállításának egyik legfontosabb összetevője 
a gerjesztőjel, ugyanis az emberi fül különösen érzékeny a hangmagasság hibájára. 
Az LPC gyenge pontját küszöbölik ki a szinuszos kódolók. Ezek gerjesztőjel- 
ként szinuszos összetevőket használnak. Egy elemi összetevőt három paraméter 
határoz meg: az amplitúdó, a frekvencia és a fázis. Ezek közül, ha a jelet egy li- 
neáris szűrőn vezetjük keresztül, a frekvencia nem változik. Mivel a hangképző út 
modellezésére használt szintézis szűrő lineáris, ezért ezen egy szinuszos jelet átve- 
zetve csak az amplitúdó és a fázis változik. Megállapíthatjuk, hogy a gerjesztő jel 
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leírásához szükséges paraméterek száma megegyezik a szintetizált beszédet repre- 
zentáló paraméterek számával. Így ahelyett, hogy külön-külön kiszámítanánk és 
átvinnénk a gerjesztő jel és a hangképző út szűrőjének paramétereit és a gerjesztő- 
jelet átvezetnénk a szűrőn, megtehetjük, hogy közvetlenül a beszédet állítjuk elő a 
vevő oldalon a szinuszos összetevőkből. 

A szinuszos kódolók is szegmensekre bontják a beszédet. Amennyiben a vevő 
oldalon egy-egy szegmensen belül a többitől függetlenül szintetizáljuk a beszédet, 
úgy az a határokon nem lesz folytonos, ami jelentősen rontja a minőséget. Ezért a 
szinuszos kódolók különböző interpolációs algoritmusokat használnak a szegmen- 
sek közötti átmenetek finomítására. 

Azonban ez még nem elég, mert hiába közelítjük jól a hangmagasságot, amíg 
a hangképző utat modellező szűrő bemenetére periodikus jelként csak egyetlen 
frekvenciaösszetevőből álló jelet adunk (ahogyan LPC esetén tesszük), addig csak 
zümmögő orrhangot kapunk. Ezt a problémát oldják meg a szintézis általi analí- 
zis alapú kódolók, amelyek a gerjesztő jelet egy optimalizáló hurokban határozzák 
meg. A kódoló egyben dekódolót is tartalmaz, amely a szintézist végzi. Az így 
szintetizált jelből kivonja a bemenő jelet, s az előálló hibajelet minimalizálja. A 
szintézis általi analízis alapú kódolók egyike a többírekvenciás lineáris predik- 
tív kódoló (MultiPulse Linear Predictive Coding, MultiPulse Excitation, MPE) 
eljárás, amely minden szegmensben egyidejűleg több frekvenciaösszetevőt hasz- 
nál. A lehetséges frekvenciaösszetevő-mintát egy kódtáblából választja ki oly- 
módon, hogy a valódi és a szintetizált beszédszegmens közötti, az emberi hallás 
tulajdonságainak megfelelően súlyozott eltérés minimális legyen (ez egy speciális 
vektorkvantálónak tekinthető). Az MPE 6.4 kbps átviteli sebességgel jó minőségű 
beszédet produkál. Ennek továbbfejlesztett változata a kóddal gerjesztett lineá- 
ris prediktív kódoló (Code Excited Linear Prediction, CELP), ahol a lehetséges 
mintákat tartalmazó (szűk) kódtábla helyett számos gerjeszetőjelet engedünk meg 
(egy nagyon nagy méretű sztochasztikusan kitöltött kódtáblát használunk). Minden 
szegmens esetén a kódoló megkeresi azt a gerjesztővektort, amelynek alkalmazá- 
sával a legtökéletesebb szintetizálás lehetséges. A CELP jó minőségű beszédet 
biztosít 4.8 kbps-os sebességgel, annak árán, hogy kimerítő keresést kell végezni 
egy tipikusan 1024 méretű kódtáblában. 

A GSM rendszer teljes sebességű kódolása az MPE-hez hasonló módszeren, 
a szabályos impulzus gerjesztésen (Regular Pulse Excitation, RPE) alapul. MPE 
esetén egy rövid perióduson belül (5-15 ms) meghatározott számú (M db) impul- 
zust adunk. Egy adott impulzus amplitúdóját és helyét az előző M darab impulzus 
alapján határozzuk meg. RPE esetén az impulzusok száma szintén rögzített, és 
az MPE-vel szemben ezek helye sem választható szabadon. Ezáltal szuboptimális 
megoldáshoz jutunk, de egyben egyszerűsödik is a kódoló. Az RPE-n alapuló rö- 
vid idejű szintézis szűrőt a GSM rendszer egy hosszú idejű becslő hurokkal (Long 
Term Prediction) egészíti ki. (Ez a közepes bitsebességű kódolók, mint pl. az RPE 
esetén nem létfontosságú, de általában alkalmazzák a minőség növelése érdeké- 
ben.) 8000 minta/s mintavételezési sebesség mellett 13 kbps-os kódsebességet 
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biztosít, ugyanis 20 ms-onként 260 bitnyi paramétert (tömörített információt) állít 
elő. 

A GSM félsebességű kódolása a CELP családba tartozó vektorösszeggel ger- 
jesztett lineáris prediktív kódoló ( Vector-Sum Excited Linear Prediction, VSELP) 
megoldáson alapul. A gerjesztésre a kódtáblából származó értékek szolgálnak, me- 
lyek részben rögzítettek, részben adaptív jellegűek. A zöngés jelleg mértékének 
vizsgálata alapján a kódoló elrendezése négyféle lehet. A 0 kategória jelenti a zön- 
gétlen, az 1—3 pedig az egyre növekvő mértékben zöngés jellegű beszédszegmenst. 
A struktúra 5 ms-os ún. alkeretenként változhat. A kódtáblában kimerítő keresést 
alkalmaznak az alkeretenkénti gerjesztősorozat meghatározásához, és a minimális 
hibajelet adó gerjesztő kódot választják ki. Ha a beszéd zöngés, akkor hosszú idejű 
becslőt is alkalmaznak. (Ez a kis bitsebességű kódolóknál, mint pl. a VSELP nél- 
külözhetetlen.) A félsebességű kódoló a teljes sebességű változat 260 bitje helyett 
szegmensenként csak 112 bitet használ, ez 5.6 kbps-nak felel meg. 


Hangtömörítés 

Az előzőekben az emberi beszéd minél gazdaságosabb, minél kisebb bitsebes- 
séget igénylő átvitelére koncentráltunk. Azonban a továbbítandó vagy tárolandó 
hanginformáció természetesen nemcsak beszéd lehet, hanem például zene is. Az 
ezen a területen használható módszereket tekintjük át az alábbiakban. 

A hangtömörítésben mércének számító CD-minőség azt jelenti, hogy 44100 
Hz-cel mintavételezünk. Ez a mintavételi tétel értelmében a legfeljebb 22050 Hz 
frekvenciájú hangok visszaállítását teszi lehetővé (valójában mintavételezés előtt a 
20 kHz-es sávra szűrnek). A mintákat 16 bites kvantálóval kvantáljuk. Ez 44100 - 
16-25 1.4 Mbps átviteli sebességet igényel (a 2-es szorzó a sztereó átvitel 2 külön 
csatornája miatt kell). 

A veszteségmentes tömörítési módok (pl. Huffman-kódolás, LZW) itt nem iga- 
zán hatékonyak, az eredmény általában az eredeti méretének 90 90-a körül van. 

A modern, hangtömörítésre kifejlesztett eljárások az emberi hallás sajátossá- 
gait kihasználva érnek el az általános célú módszereknél jobb tömörítési arányt, 
így amellett, hogy veszteséges eljárások, a veszteség mértéke nem is egyenletes 
sem a frekvencia-, sem az időtartományban. Mivel itt a közel tökéletes hang visz- 
szaállítása a cél, ezért a hangtömörítésben nem megengedett a szintetizálás. 

Az emberi hallás tartománya 20 Hz — 20 kHz, a legnagyobb érzékenysége 2 és 
4 kHz között van, felbontása (a kvantálási lépcső) frekvenciafüggő. Ebből követ- 
kezően két azonos intenzitású, de különböző frekvenciájú hang különböző hangos- 
ságérzetet kelt a hallgatóban, és azokban a tartományokban, amelyekben fülünk 
kevésbé érzékeny, jobban elviseljük a torzítást. Hallásunkra jellemző két elfedési 
jelenség. Az egyik a frekvenciatartománybeli elfedés, melynek lényege, hogy egy 
adott frekvenciájú, nagy intenzitású hang (maszkoló hang) a vele egy időben szóló 
és közeli frekvencián lévő kisebb intenzitású hangokat elfedi, vagyis azok nem 
hallhatóak. A másik az időtartománybeli elfedés: egy adott frekvenciájú nagy 
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intenzitású hang a közeli frekvencián lévő kisebb intenzitású hangokat nemcsak 
akkor fedi el, amikor együtt szólnak, hanem kis ideig még a nagy intenzitású hang 
bekapcsolása előtt (kb. 2 ms-ig) vagy kikapcsolása után (kb. 15 ms-ig) sem halljuk 
a kisebb intenzitásúakat. 

Mivel az emberi hallás legjobban a frekvenciatartományban modellezhető, ezért 
a hangtömörítő eljárások frekvenciatartománybeli analízissel dolgoznak. A fentiek 
alapján nem minden frekvenciaösszetevőt kell átvinni, és a kódolandókat sem azo- 
nos pontossággal kell kvantálni. 

Az eredetileg mozgóképtömörítésre kifejlesztett MPEG-1 szabvány hangtömö- 
rítő része jól kihasználja az emberi hallás sajátosságait. A hangtömörítésre három 
hasonló eljárást definiál, és ezeket Layer 1,2,3-nak nevezi. 

Az egyszerűbb Layer 1 és 2 eljárás analízis szűrőbankja a bemeneti jelet 32 
részsávba képezi le. A mintavételezés 32, 44.1 vagy 48 kHz-cel történhet. Ezután 
részsávonként egy transzformációs kódolás következik. A maszkoló és a masz- 
kolt hang(ok) eltérését (Signal-to-Mask Ratio, SMR) Layer 1 esetén 512 pontos, 
míg Layer 2 esetén 1024 pontos gyors Fourier-transzformációval (FFT) számítja. 
Mindkét módszer 12 mintát (keret) kódol együtt minden sávban, de a Layer 2 a 
megelőző és a követő 12 mintát is megvizsgálja az időbeli maszkoláshoz, valamint 
a skálafaktorokat is hatékonyabban kódolja. Dinamikus bitallokációval kiválasztja 
a lehetséges 15 kvantáló egyikét minden egyes részsáv számára úgy, hogy az a ská- 
lafaktor (a legnagyobb amplitúdójú jel) és az SMR közötti bitmegosztást tekintve 
optimális legyen. A CD-minőségű hang átviteléhez az MPEG-1 Layer 1 eljárásnak 
384 kbit/s-ra, míg a Layer 2-nek 256 kbit/s-ra van szüksége. 

A napjainkban oly nagy népszerűségnek örvendő MPEG-1 Layer 3 eljárás a 
Layer 1,2-höz képest lényeges, a hangminőséget javító eltéréseket tartalmaz. A 32 
részsáv mindegyikét további 6 vagy 18 frekvenciaösszetevőre bontja módosított 
diszkrét koszinusztranszformáció (MDCT) felhasználásával. A frekvenciakompo- 
nensekre ezután egy nemegyenletes kvantálót alkalmaz, majd a kimenetet a lehet- 
séges 18 Huffman-kódtábla egyikével kódolja. Míg rögzített bitsebesség mellett 
minden keret azonos számú bájtot tartalmaz, addig a Layer 3 esetében meg lehet 
azt tenni, hogy az egyik keretet kevésbé töltjük fel (ha nincs rá igény), és a maradék 
helyre a következő keret bitjeit tesszük. Így egy keret adatai adott határokon belül 
átcsúszhatnak a szomszédos keretekbe. 

Az MPEG szabványok csak a dekódolót szabványosítják, a kódolót nem. Per- 
sze az adott dekódoló-részegységhez sok esetben létezik optimális kódolórész (pl. 
IDCT a dekódolóban — DCT a kódolóban, ismertek a kódpontok a dekódolóban 
— kiszámíthatóak a kvantálási tartományok a kódolóban). Bizonyos esetekben 
(pl. az emberi hallás modelljének felhasználása vagy a bitallokáció esetén) már 
nagy a szabadsági fok, ebből következnek a különböző MPEG kódolók közötti mi- 
nőségi eltérések. 
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Képtömörítés 


Képtömörítés esetén alkalmazhatunk egyértelműen dekódolható (veszteség- 
mentes), vagy hűségkritériumon alapuló (veszteséges) módszereket. A vesztesé- 
ges módszerek a veszteségmenteseknél egyes esetekben akár egy nagyságrenddel 
is jobban tömöríthetnek, észrevehető minőségromlás nélkül. Amennyiben a minő- 
ségi megkötések nem nagyon szigorúak, még ennél is többet nyerhetünk a vesz- 
teséges módszerek alkalmazásával. Ahhoz, hogy a minőségromlás és a tömörítés 
mértéke között meg tudjuk találni az egyensúlyt, szükségünk van e két jellemző 
kvantitatív mérésére. 

A tömörítés mértékének megállapításához mérnünk kell a tömörítetlen és a tö- 
mörített információ méretét, majd ezek hányadosát kell vennünk. A tömörített in- 
formáció a legtöbbször bitfolyamként jelenik meg, ennek mérete a benne levő bitek 
száma. A tömörítetlen információ mennyiségének mérése nehézségekbe ütközhet 
folytonos értékkészlet vagy értelmezési tartomány esetén. Ilyenkor az információ 
mennyiségét vehetjük a kódoló bementetén megjelenő jel — ami általában egy bit- 
folyam — méretének. Célszerűen ez a bitfolyam az eredeti jellel azonos vizuális 
élményt adó, de már mintavételezett és kvantálással véges értékkészletűvé alakí- 
tott jel bináris ábrázolása. A tömörítetlen információ mennyiségének becsléséhez 
kulcsfontosságú a megfelelő mintavételezés és kvantálás kiválasztása. Ezt a leg- 
több esetben szabványok határozzák meg. Ilyen szabványokkal találkozhattunk 
már a hangtömörítésnél is: a CD-minőségű hang a maga 44.1 kHz-es mintavéte- 
lezésével és 16 bites lineáris kvantálásával pontosan ilyen volt. Képtömörítésnél a 
felbontást és a színmélységet kell meghatároznunk. Videotömörítés esetén emel- 
lett meg kell adnunk a képfrekvenciát is. Képtömörítésnél gyakorlatilag bármilyen 
felbontás használható, míg videotömörítésnél a nemzetközi televíziós szabványok- 
hoz alkalmazkodva 720 x 480 (NTSC), 768 x 576 (PAL) a szokásos felbontás, de 
a HDTV esetén akár 1920 x 1080 is lehet. Az ezekhez tartozó képfrissítési frek- 
venciák pedig 30 Hz, 25 Hz illetve 60 Hz. A színtérbeli kvantálást a színmélység, 
vagyis az egy képpontra jutó bitek száma jellemzi. Általánosan alkalmazott a 8 és 
a 24 bites színmélység. 

A ma használt képernyők legnagyobb része a három alapszín additív keverésé- 
vel dolgozik. Ezek a piros, a zöld és a kék. Ezért egy képpont színét — az angol 
színelnevezések kezdőbetűi alapján — az ún. (R, G, B) értékekkel szokás megadni, 
amelyek azt mutatják, hogy a három alapszínt hogyan kell keverni a kívánt fényerő 
és színérzet eléréséhez. Ezek értéktartománya a 0 és 255 közötti egész számok- 
ból áll. Ilyen színkezelés esetén 22! különböző színt tudunk reprodukálni, ami a 
legtöbb esetben kielégítő. 

A veszteséges kép- és videotömörítési módszereket az emberi látásról meg- 
levő ismereteket felhasználva alakították ki. Az információmennyiség csökkentése 
érdekében a kép azon részleteit kódoljuk kis pontossággal, amelyekre a szemünk 
kevéssé érzékeny, és azokat kódoljuk majdnem eredeti minőségben, amelyekre a 
szemünk igen érzékeny. Mivel szemünk érzékenysége a fényerőre jóval nagyobb, 
mint a színre, érdemes ezeket az adatokat elkülöníteni egymástól. Az (R, G, B) ér- 


Kódolástechnika - 2006 - crysys web változat - 6. 


5.4. ALKALMAZÁSOK 230 


tékekből az alábbi transzformációval kaphatóak az ún. (Y, Cs , C,) színkoordináták. 


Y — 0.299R --0.587G -- 0.114B 
CC; —-B—Y 
C,—-R-Y 


Y-t luminanciának nevezzük, és a fényességérzetet írja le, C-t és C,-t kromi- 
nanciának nevezzük, ezek a színérzetet írják le. Bár szemünk nem egyenletesen 
érzékeny a fényességérzetre, ennek a színkoordináta-rendszernek az Y együttható- 
jában többé-kevésbé állandó a szemünk érzékenysége. További előny, hogy ezek 
az értékek is 0 és 255 közötti egész számok, és belőlük az (R, G, B) számértékek 
egyszerűen előállíthatóak. 

Érdekességként megemlítjük, hogy az (R, G, B) színinformáció transzformálá- 
sát az eredeti (analóg) televíziós szabványokban az tette szükségessé, hogy az adás 
fekete-fehér vevőkészüléken is nézhető lehessen. A luminancia jelet ugyanazon a 
frekvencián szórják, mint a régi fekete-fehér jelet, így azt egy fekete-fehér televí- 
ziókészülékkel is venni lehet. A két krominanciajelet pedig nagyobb frekvencián 
és szűkebb sávban (hiszen ennek torzítására kevésbé érzékeny a szemünk) adják. 

Szemünknek sok egyéb olyan tulajdonsága is van, amit kép- és videotömörítés- 
kor kihasználhatunk. Megfigyelhetjük, hogy a nagyobb térbeli frekvenciájú össze- 
tevőkre kevésbé érzékeny a szemünk mint az alacsonyabb frekvenciájúakra. Pél- 
dául egy halvány sűrű mintázatot sokkal kevésbé veszünk észre, mint egy ugyan- 
olyan halvány, de ritkás mintát. Tömörítésnél, ha a kép kétdimenziós Fourier- 
transzformáltját vesszük, akkor ebben a magasabb frekvenciás összetevők torzítása 
nem okoz észrevehető hibát, míg az alacsonyabb frekvenciájú összetevők torzítása 
igen feltűnő a képen. Pontosabban, a kétdimenziós Fourier-transzformált frekven- 
ciatartományban a szem érzékenysége a két frekvencia összegének növekedésével 
monoton csökken. 

Kísérleti tény továbbá, hogy a térbeli és időbeli frekvenciák érzékelése össze- 
függ: egy rövid ideig látott képen csak az igen kicsi térbeli frekvenciájú összete- 
vőket figyeljük meg, a finomabb mintázatokat csak hosszabb ideig látott képen va- 
gyunk képesek érzékelni. Veszteséges videotömörítésnél ennek megfelelően meg- 
engedjük, hogy egy hirtelen megjelenő képrészletnek az első néhány képkockán 
csak az alacsonyabb térbeli frekvenciás összetevői jelenjenek meg. A magasabb 
frekvenciás összetevőket elég csak ezután megjeleníteni. 

A GIF (Graphics Interchange Format) formátumot, amelyet grafikus képek 
tömörítésére lehet használni, a Compuserve Information Service foglalta szab- 
ványba. A GIF formátum a képpontok színét úgynevezett indexelt formában tá- 
rolja. Amikor minden képpont színét az előzőekben bemutatott színkoordináta- 
rendszerek valamelyikében adjuk meg, folytonos tónusú tárolásról beszélünk. 
Megtehetjük azonban, hogy a képen használt színek valamilyen leírását egy palet- 
tába gyűjtjük ki, és a képpontok megadásakor a színekre a palettabeli indexükkel 
hivatkozunk. Ezt nevezzük indexelt tárolásnak. 
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Ilyen tárolással igen nagy tömörítést érhetünk el. Gondoljuk meg, hogy ha 
egy képet az (R, G, B) színkoordinátákkal, koordinátánként 8-8 bitet felhasználva 
folytonos tónusúan tárolunk, akkor minden képponthoz 24 bitet kell megadnunk. 
Ha ugyanezt a képet egy 256 színű palettával indexelten tároljuk, akkor a palettán 
kívül képpontonként csak egy 8 bites indexet kell megadnunk. Ez — amennyiben 
a képméret nem túl kicsi — körülbelül 1 : 3 tömörítést jelent. 

Természetesen bármilyen kép tárolható indexelt formában, legfeljebb igen nagy 
méretű paletta szükséges. Az indexelt tárolás lényege viszont épp a viszonylag kis 
méretű paletta alkalmazása. A képek folytonos tónusú tárolással kerülnek a tömö- 
rítőalgoritmusok bemenetére, gondoljunk például szkennelt fényképre vagy digi- 
talizált videojelre. (Ez alól csak a számítógépes grafikák alkotnak néha kivételt, 
ugyanis ezek lehet, hogy azonnal indexelt formában készülnek.) Ezért szükséges 
lehet, hogy egy folytonos tónusú képet indexeltté alakítsunk. Ennek során minél 
kisebb palettaméretet szeretnénk elérni, annál többet kell az eredeti kép színei kö- 
zül másikkal helyettesíteni. Felfoghatjuk ezt úgy is, hogy az indexelt tárolású for- 
mává való átalakítás egy vektorkvantálás a három dimenziós (R, G, B) színtérben. 
Az optimális, tehát a lehető legkevésbé látható torzulást okozó paletta (vagyis az 
optimális kvantálási vektorok) kiválasztására speciális — az emberi színérzékelés 
tulajdonságait kihasználó — algoritmusok állnak rendelkezésre. 

A GIF formátumban a paletta mérete általában 256, de bármely kisebb 2 hat- 
vány használata is megengedett. A palettában a színek megadása az (R, G, B) szín- 
koordinátákkal történik. A paletta tömörítésének mikéntjével nem foglalkozunk. 
A képpontokat a GIF tömörítés sorfolytonosan tapogatja le, és a sorozatot LZW 
algoritmussal tömöríti. 

A tömörített kép első bájtjának értéke a képpontonkénti bitszám (b). Ez hatá- 
rozza meg a palettaméretet: 29. Az LZW szótár kezdeti mérete 291! , tehát minden 
kódszó b 7-1 bites. Az első néhány képpont szempontjából (amíg nincs a kép- 
pontok sorozatában ismétlődés) ez azt jelenti, hogy képpontonként egy plusz bit 
képződik, hisz a b bites képpont b -- 1 biten lesz tárolva. Közben azonban épül 
az LZW szótár, és ha a képpontértékek sorozatában valahol ismétlődés van, azt 
az LZW azonnal kihasználja. Ha a 2?t! méretű szótár betelt (ezt a pillanatot ter- 
mészetesen a kitömörítő algoritmus is meg tudja állapítani), a szótár méretét az 
algoritmus megduplázza, és ettől kezdve b 4-2 bites kódszavakkal dolgozik. Ha 
ez a szótár is betelik, akkor ismét duplázódik a méret, amíg el nem éri a 4096 be- 
jegyzést. Innentől már nem növekszik tovább a szótár, hanem az eddig elkészült 
szótárat fogja a továbbiakban statikus szótárként használni az algoritmus. 

A GIF formátum nagyon elterjedt, leginkább kis ikonok, ábrák tömörítésére al- 
kalmazzák, ugyanis ezeket képes igen jól tömöríteni. Ennek egyik oka, hogy ezek 
sok esetben nagy kiterjedésű, egyszínű területeket tartalmaznak, és ezek a sorfoly- 
tonos letapogatással hosszú egyszínű sorozatokként jelennek meg. A hosszú so- 
rozatok az LZW szótárban egy kódszóval reprezentálhatók, így igen hatékony a 
tömörítés. Ugyancsak jellegzetessége az ilyen képeknek, hogy ismétlődő részlete- 
ket tartalmaznak, és ezek megintcsak kedveznek az LZW algoritmusnak. Azonban 
például fotók esetén az egyszínű területek igen ritkák, és méretük is viszonylag 
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kicsi. Ennek eredményeképpen a GIF tömörítési aránya ilyen képnél (1 : 1.2— 1.7) 
elmarad sok más, viszonylag egyszerű módszer mögött. (Például, ha predikció- 
ként az előző képpont értékét használjuk, és a kapott különbségi sorozatot adaptív 
aritmetikai kódolóval tömörítjük, akkor a tömörítési arány 1 : 1.3 — 2.2 lesz.) 

A különbség másik oka a színkezelésben keresendő. Az ikonok és ábrák ál- 
talában viszonylag kevés színt tartalmaznak, ezért igen előnyös az indexelt tárolá- 
suk. Egy olyan tömörítés, amely nem tud indexelt képeket tömöríteni, egy ilyen 
ábrát kénytelen lenne folytonos tónusúvá alakítani a tömörítés előtt. Így kétszer- 
háromszor akkora adatmennyiséget kellene, hogy tömörítsen, mint a GIF, amely 
közvetlenül az indexelt formával képes dolgozni. Sok módszer azért nem tud köz- 
vetlenül indexelt képeken dolgozni, mert a szomszédos képpontok értékeinek kis 
különbségére alapoz. Mivel folytonos tónusú tárolásnál a szomszédos képpontok- 
ban tárolt értékek a színkoordináták, ez a feltételezés helyes, és általában teljesül 
is. Indexelt tárolás esetén azonban a képpontokban tárolt értékek a palettaindexek, 
és ezek tetszőlegesen távoliak lehetnek (csak a nekik megfelelő palettabeli szín- 
koordináták értékei vannak egymáshoz közel). Fokozottan jelentkezik ez akkor, 
ha valamilyen palettaoptimalizáló eljárást alkalmaztunk. Eléggé jól látható, hogy 
a GIF-nek miért nem probléma ez: a GIF ismétlődő mintázatokat keres, és ilyen 
szempontból teljesen mindegy, hogy a közeli képpontok értékei megközelítőleg 
egyenlőek-e. Mindössze az számít, hogy vannak-e ismétlődések. Így már érthető, 
hogy miért is olyan hatásos módszer a GIF számítógépes ábrák tömörítésénél. 

A JPEG (Joint Photographic Experts Group) a képtömörítés világában szinte 
egyeduralkodó a veszteséges tömörítések területén. Az egész szabványcsomagot 
a Joint Photographic Experts Group (ISO/IEC JTC 1 / SC 29 / WG 1) dolgozta 
ki folytonos tónusú képek tömörítésére. Valójában a JPEG szabványcsomag támo- 
gat veszteséges és veszteségmentes képtömörítést is, bár tény, hogy a gyakorlatban 
szinte kizárólag az elsőt használják. Mindezek ellenére a prediktív kódolás jó pél- 
dája a veszteségmentes JPEG, ezért az alábbiakban ezt is bemutatjuk, továbbá rész- 
letesen tárgyaljuk a veszteséges JPEG egy egyszerű változatát, a baseline JPEG-et. 

A veszteségmentes JPEG képtömörítés alapja a predikciós kódolás. Predikci- 
óra az éppen tömörítésre kerülő képpont környezetét használjuk fel. Mivel a kép- 
pontok letapogatása itt is sorfolytonosan történik, az adott képponttól balra vagy 
felfelé eső képpontok értékei azok, amelyek a dekódoló rendelkezésére állnak az 
adott képpont értékének visszaállításakor, így a kódoló is csak ezeket használja fel 
a predikcióhoz. Nyolcféle predikciós séma létezik, és ezek közül egy adott kép 
tömörítéséhez bármelyik használható, de egy képen belül végig ugyanaz a séma 
érvényes. Jelölje X; ; az (i, j) koorinátájú képpont értékét, és X j az (i, j) koordiná- 
tájú képpont becsült értékét. Az (i, j) koordinátájú képpont becsült értéke az egyes 
predikciós sémákban: 
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Látható, hogy az első lehetőség maga a predikciómentes tömörítés. Megfi- 
gyelhető, hogy az összes többi predikciós séma mellett az egyszínű területeken a 
predikciós hiba 0, azaz X j — Xi — X-1j — Xi j-i. Javítható a tömörítés mér- 
téke, ha a képet blokkokra osztjuk, és minden blokkra külön adjuk meg a használni 
kívánt predikciós sémát. 

A veszteséges baseline JPEG tömörítés algoritmusa az 5.13. ábrán látható. A 
JPEG a képeket először képsíkokra bontja: minden képsík egy-egy színkoordináta 
értékeit tartalmazza. Színkoordinátának az előzőekben bemutatott (Y, Cp, C,) hár- 
mast használjuk, mindegyiket 8-8 biten tárolva. Így egy képpontra összesen 24 
bit jut. A JPEG tömörítő algoritmus számára a képsíkok gyakorlatilag egymástól 
független képekként jelennek meg, külön-külön vannak kódolva. 

Megengedett, hogy a képsíkok felbontása eltérjen. Mindössze annyi a kikötés, 
hogy a felbontások aránya racionális legyen. A kép kitömörítésekor a felbontások 
legkisebb közös többszörösének megfelelő felbontású képet állítunk vissza, ahol 
az egyes képsíkok képpontbeli értékeit lineáris interpolációval állítjuk elő a tárolt 
felbontással megegyező felbontásban rekonstruált képsík értékeiből. A különböző 
felbontású képsíkok alkalmazásának lehetőségét úgy szokás kihasználni, hogy a 
Cp és C, képsíkok vízszintesen és függőlegesen is felére csökkentett felbontással 
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vannak tárolva. Például 400 x 400 pontos kép esetén az Y képsík felbontása 400 x 
400, míg a C5 és C, képsíkok felbontása 200 x 200. Kitömörítésnél visszaállítjuk a 
400 x 400-as Y képsíkot, és a két 200 x 200-as C5 és C,. képsíkot. Ezután a C; és C,. 
képsíkokat lineáris interpolációval a kétszeresükre nagyítjuk, majd az így kapott 
két 400 x 400-as képsíkot és a 400 x 400-as Y képsíkot , vetítjük egymásra", hogy 
az eredeti képet kapjuk. 

Az algoritmus első lépése a képsíkok 8 x 8-as négyzetekre bontása. Ha a 
képméret nem osztható 8-cal, akkor a jobb szélső oszlop és/vagy a legalsó sor 
többszörözésével azt 8-cal oszthatóvá tesszük. Az így keletkező felesleges széleket 
a dekódoló levágja a képméret alapján. 

A 8 x 8-as négyzeteket kétdimenziós diszkrét koszinusz transzformációnak 
(DCT) vetjük alá. Így ugyancsak 8 x 8-as négyzeteket kapunk, csak azok most már 
nem egész értékekből, hanem valós számokból állnak. Ezeket a frekvenciatarto- 
mánybeli valós együtthatókat a következő lépés, a kvantálás fogja ismét egészekké 
alakítani. 

A kvantálás egyenletes, viszont a 8 x 8-as négyzet minden egyes elemére más 
lépésközzel hajtjuk végre. A 8 x 8-as DCT transzformált négyzet együtthatói kü- 
lönböző frekvenciájú felharmonikusoknak felelnek meg. A kis frekvenciás együtt- 
hatók a négyzet bal felső részében vannak. Mint tudjuk, a szem ezekre a kisebb 
frekvenciához tartozó értékekre sokkal érzékenyebb, mint a nagyobb frekvenciá- 
hoz tartozókra, ezért ezeket finomabb lépésközzel fogjuk kvantálni. A szabvány 
nem köti meg, hogy milyen kvantálási lépésközöket használjunk. A használt lé- 
pésközöket táblázatba szokás foglalni, ahol egy táblázatelem a 8 x 8-as négyzet 
megfelelő együtthatójának kvantálási lépésközét tartalmazza. Bár a szabvány nem 
teszi kötelezővé a használatát, de ajánl egy kvantálási táblát: 


x 16 19 22 26 27 29 34 
16 16 22 24 27 29 34 37 
19 22 26 27 29 34 34 38 
22 22 26 27 29 34 37 40 
22 26 27 29 32 35 48 48 
26 27 29 32 35 40 48 58 
26 27 29 34 38 46 56 69 
27 29 35 38 46 56 69 83 


A 0 frekvenciához tartozó együttható (neve DC komponens) a DCT transzformá- 
ció során a bal felső sarokba került. Kihasználva az egymás melletti képrészek 
viszonylag hasonló színét, a DC komponenst nem kvantáljuk, ehelyett az egymás 
utáni 8 x 8-as blokkok DC komponenseinek különbségét vesszük. Ezért nem tar- 
tozik a DC komponenshez érték a kvantálási táblában. 

Látható, hogy a nagyobb frekvenciás együtthatókra nagyobb lépésközt ad meg 
a táblázat. Ennek eredményeképpen a nagyobb frekvenciás együtthatók kvantált 
értékei majdnem mind 0-k lesznek. Ezeket a 0-kat egy későbbi lépés (a futam- 
hossz kódolás) során jól tudjuk majd tömöríteni. A kvantálási tábla változtatása 
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5.14. ábra. Cikk-cakk elrendezés 


tehát lehetőséget ad a tömörítés mértékének és minőségének befolyásolására: a tö- 
mörítést növelni lehet a kvantálás lépésközének növelésével, a kép minőségének 
rontása árán. 

A kvantált együtthatókat ezután az úgynevezett cikk-cakk elrendezés szerint 
sorbarendezzük (5.14. ábra). Így az első helyre a különbségi DC együttható kerül, 
azt követi a vízszintes alapharmonikus, majd a függőleges alapharmonikus, majd 
pedig az egyre növekvő frekvenciás felharmonikusok következnek. Köszönhetően 
annak, hogy a kvantálás során a táblázat magasabb frekvenciákhoz tartozó együtt- 
hatói nagyrészt kinullázódtak, a kapott sorozat a vége felé túlnyomórészt 0-kból 
áll. 

A futamhossz kódolási lépésben a cikk-cakk elrendezéssel kapott, javarészt 0- 
kból álló sorozatot részekre bontjuk úgy, hogy minden részsorozat eleje tetszőleges 
számú 0-ból álljon, és ezt a végén egyetlen nem 0 elem zárja. Minden így kapott 
részsorozathoz egy (ín, s), v) számhármast rendelünk. n az adott részsorozat elején 
levő 0-futam hossza, s jelzi, hogy a részsorozat végén található nem 0 értéket hány 
biten kódoljuk, v pedig ezen nem 0 érték bináris ábrázolása. Az s változóra a 
tömörítés hatékonyságának növelése miatt van szükség, mert ugyan előfordulnak 
néha nagy abszolút értékű elemek, de ezek ritkák, így nem érdemes minden elemet 
azonos bithosszon kódolni. 

Így például a 23,0,0,0,0, —7,0,—19,4,0,0, 0, . . . sorozat első futamhossz-kód- 
hármasa: (10,6),010111), hiszen az első elem, a 23 előtt nincs 0, így n — 0. 23 
bináris számként 6 biten kódolható előjelesen, így s — 6. A további kódszavak: 
((4,4). 1000); ((1,6),101100); ((0,4),0100);... (Az előjeles bináris számokat 
egyes komplemens ábrázolásban tüntettük fel. Megfelelő technikával ezek 1 bittel 
rövidebben is kódolhatóak.) 

Az így kapott (fn,s),v) hármasok (n,s) elemeit statikus Huffman-kóddal tö- 
mörítjük tovább, a v értékeket pedig egyszerűen elválasztójel nélkül egymás után 
írjuk. A statikus Huffman-kód azt jelenti, hogy nem az (ín, s) párok adott képben 
levő gyakorisága alapján választjuk a kódszavakat, hanem azok a JPEG szabvány- 
ban le vannak rögzítve. (A statikus kódot az ín,s) párok sok képre vett átlagos 
gyakoriságai alapján tervezték meg.) Alkalmazhatnánk a Huffman-kódolást ma- 
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gukra az (fn,s).v) hármasokra is, de akkor a kód annyira sok kódszóból állna, 
hogy kezelhetetlen lenne, nagyon lassú lenne vele dolgozni. A v értékek levá- 
lasztása jó döntés, mert ezzel a kód mérete kezelhető lesz, viszont a hatékonysága 
csak alig romlik: a v értékek bitjei a tapasztalat szerint gyakorlatilag függetle- 
nek és egyenletes eloszlásúak, így nem tömöríthetőek, hiába is vonnánk be őket a 
Huffman-kódba. 

A fenti példán bemutatva ezt az utolsó lépést, a tömörített képbe a (0,6), (4, 4), 
(1.6) és (0,4) Huffman-kódja, és a 01011110001011000100 sorozat kerül. 

A JPEG egyszerűsége ellenére meglepően alacsony bitsebességeket tud elérni. 
A képpontonkénti 2 bites tömörítés egy 24 bites színmélységű kép esetén az ere- 
detitől megkülönböztethetetlen képet eredményez — legalábbis az emberi szem 
számára nem látható a különbség. Igen kis, 1 bit/képpontos bitsebesség esetén 
kezd el zavaróvá válni a torzítás, és 0.5 bit/képpont alatt a kép nem élvezhető. A 
felismerhetőség még 0.086 bit/képpontos bitsebesség mellett is biztosítható. Ter- 
mészetesen ilyen alacsony bitsebességek esetén különböző kiterjesztések is szük- 
ségesek a szabványhoz. Mindenesetre ezek az eredmények nagyon jónak számíta- 
nak. A JPEG alacsony bitsebességek esetén legelőször , kockásodni" kezd. Ezt az 
alacsonyfrekvenciás együtthatók értékének kvantálás miatti torzulása okozza. 


Videotömörítés 


Az MPEG (Moving Picture Experts Group) a JPEG-hez hasonlóan az ISO egyik 
munkacsoportja (ISO/IEC JTC 1 / SC 29 / WG 11). Feladatuk olyan videotömö- 
rítési szabványok kidolgozása volt, melyek széleskörű ipari konszenzuson alapul- 
nak. Az ilyen jellegű szabványokra a digitális konvergencia időszakában mind a 
tartalom előállítóknak, mind a felhasználóknak, mind a közöttük álló szolgáltatók- 
nak szükségük van. Az MPEG egy öt szabványból álló szabványcsomag kidolgo- 
zását tűzte ki célul, mely a veszteséges videotömörítés (beleértve a hangtömörítést 
18), a digitális televíziózás és a multimédia alkalmazások széles körét fedi le. Az öt 
szabvány: MPEG- 1, MPEG-2, MPEG-4, MPEG-7 és MPEG-21. 

A CD-olvasók első generációja a hifi minőségű tömörítetlen zenéhez szüksé- 
ges, 1.4 Mbit/s lejátszási sebességre volt képes. Az MPEG-1 szabvány kialakítá- 
sakor azt tűzték ki célul, hogy az ilyen, egyszeres (1 x) CD-meghajtók olvasási 
sebességén használható formátumot hozzanak létre. Ez nehéz feladat volt, hiszen 
egy 8 biten mintavételezett video (NTSC vagy PAL) tömörítetlenül nagyságrendi- 
leg 200 Mbit/s átviteli sebességet igényel. A szükséges tömörítés tehát nagyjából 
1: 140 kell hogy legyen, sőt még a hangcsatorná(k)nak és a hibajavító kódnak is 
helyet kell szorítani. A nagy tömörítési igény mellett a , véletlen elérés" lehető- 
ségét is teljesíteni kellett, vagyis azt, hogy a tárolt video bármelyik részét (akár a 
közepét is) gyorsan el lehessen érni. Amennyiben prediktív algoritmussal tömö- 
rítünk, problémát okozhat ennek a kritériumnak a megvalósítása, hiszen ilyenkor 
csak a kezdeti, biztos ponttól elindulva lehetséges a rekonstrukció. Viszont a pre- 
diktív algoritmusok kizárása szóba sem jöhetett, hiszen ezek nélkül remény sincs 
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ilyen tömörítés elérésére. Az MPEG által választott megoldás a rövid, de egymástól 
független prediktív blokkok alkalmazása volt. Az MPEG-1 az 1 x-es CD-olvasók 
sebességének megfelelő, igen erős tömörítést csak viszonylag gyenge képminőség 
mellett tudja megvalósítani. Azonban 1992-ben, amikor a szabvány megjelent, az 
ipar ezzel a minőséggel is megelégedett. A szabvány sikeres alkalmazásai többek 
között a CD-I és a Video-CD technológiák. 

Az MPEG-2 szabványt a digitális televíziózáshoz fejlesztették ki. Ehhez az 
MPEG-Il1 segítségével elérhetőnél jobb minőségre volt szükség, támogatja például 
a szabvány a HDTV video tömörítését is. A HDTV technológia, a High Defi- 
nition TeleVision a szokványos televízióminőségnél nagyobb felbontású és szín- 
mélységű, CD-minőségű hanggal kísért televíziós szabvány. Az MPEG-2 által igé- 
nyelt bitsebesség (a minőség függvényében) 1—40 Mbit/s között alakul. Jellegze- 
tes értékek a 4-6 Mbit/s hagyományos (PAL) videojel esetén, és a 12-20 Mbit/s 
HDTV videojel esetén. Digitális televíziózás során gondoskodni kell a tömörí- 
tésen kívül a jelátvitelről, multiplexelésről is. Az MPEG-2 szabvány egyik sike- 
res alkalmazása, az Európában szabványosított DVB (Digital Video Broadcasting) 
technológia. Ez a digitális műsorszórást teszi lehetővé, hagyományos földi (8 MHz 
sávszélességű) televíziócsatornában illetve műholdas (36 MHz sávszélességű) csa- 
tornában. Mindkét esetben 3-6 televízióműsor multiplex átvitelére van lehetőség. 
Az MPEG-2 további sikeres alkalmazása a VoD (Video on Demand) és a DVD is. 

Az MPEG-4 a multimédia alkalmazások szabványa. Közös technológiai ala- 
pot nyújt a műsorszórásos, az interaktív és a beszélgetés-jellegű szolgáltatások- 
hoz. Sokrétű interaktivitást tesz lehetővé a hagyományos lejátszás—megállítás— 
előre/visszatekerés mellett. Képes szintetikus (pl. számítógép-animáció) és ter- 
mészetes forrásból származó (pl. videokamera által rögzített) információtípusok 
együttes kezelésére. A bitsebességek igen széles skáláját támogatja, egészen 10 
kbit/s-tól kezdve. Többek között lehetséges MPEG-4-gyel egy videokonferencia 
64 kbit/s-os tömörítése és a professzionális HDTV tömörítése is 40 Mbit/s sebes- 
séggel. Az MPEG-4 egyik sikeres alkalmazása a DivX. 

Az MPEG-7 a többi MPEG szabvány által kódolt audiovizuális tartalmak ka- 
talogizálására, leírására, keresésére ad lehetőséget. Az MPEG-21 szabvány egy 
egységes multimédia keretrendszer, melynek feladata a felhasználók támogatása a 
digitális tartalmak hozzáférésében, cseréjében, megvásárlásában, módosításában. 

A továbbiakban az MPEG-1 szabvány videotömörítési részének vázát fogjuk 
áttekinteni. Fontos megjegyezni, hogy az MPEG-1 emellett foglalkozik a hangtö- 
mörítéssel, valamint a video- és hangfolyamok multiplexelésével is. A hangtömö- 
rítési részről az előzőekben már volt szó. 

A szabvány kidolgozása során kiemelt figyelmet fordítottak az implementáció 
szabadságára. A videotömörítési részében az MPEG-1 szabvány csak a tömörített 
bitfolyam szintaxisát és értelmezését írja le. A kódoló tetszőleges algoritmussal 
dolgozhat, de természetesen csak szintaktikailag helyes bitfolyamot állíthat elő. 
Nagyon sok múlik azon — mind képminőség, mind pedig bitsebesség tekinteté- 
ben — hogy egy kódoló mennyire jól tudja kihasználni az MPEG-1 szabvány adta 
lehetőségeket. A dekódoló implementálása terén a bitfolyam kötött értelmezése 
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5.15. ábra. Az MPEG bitfolyam szintaktikai felépítése 


miatt nincs nagy szabadság. A szabvány ad is egy referencia dekódolót, bár ennek 
használata nem kötelező. 

Az 5.15. ábrán a bitfolyam szabvány által definiált szintaktikai felépítése lát- 
ható. A legkülső elem a videoszekvencia (ezt nem tüntettük fel az ábrán). Egy 
videoszekvenciának adott képmérete, képsebessége és egyéb jellemző paraméterei 
vannak. A videoszekvencia fejléce ezek leírását tartalmazza. 

A videoszekvencia belsejében képcsoportok (Group Of Pictures, GOP) van- 
nak, amelyek néhány kép egymásutánjából állnak. A képcsoportok az egymástól 
függetlenül kódolt prediktív egységek. A képcsoporton belül képek helyezkednek 
el. A kép háromféle lehet, I, P vagy B. Ez az alkalmazott predikció fajtájával van 
összefüggésben. A képek sávokra, a sávok makroblokkokra (16 x 16 képpont), a 
makroblokkok pedig blokkokra vannak bontva. 

A tömörítési algoritmus lelke a mozgásbecslés. Ez tulajdonképpen egy predik- 
ciós kódolás, ahol a video adatfolyam egymás utáni képeinek hasonlóságát hasz- 
náljuk ki. A predikciót makroblokk szinten végezzük: minden makroblokkhoz 


222 


kikeressük az időben megelőző és az időben következő képeken található, hozzá- 
juk leginkább hasonló részleteket. A megelőző és a következő képeken a hasonló 
részek helyét az úgynevezett mozgásvektorral határozzuk meg. A makroblokknak 
csak ezen referencia-képrészektől való eltérését (vagyis a predikció hibáját) kódol- 
juk a JPEG módszernél megismertek szerint. 

Egy makroblokk tömörítése során ugyanis négyféle módon járhatunk el. Tö- 
möríthetjük predikció nélkül, vagy predikcióval hátulról, elölről, és mindkét irány- 
ból. Amennyiben nem alkalmazunk predikciót, úgy az eredeti makroblokk blokk- 
jait kell JPEG-szerűen kódolnunk. Amennyiben egyirányú predikciót alkalmazunk 
(időben megelőző vagy következő kép egy részét jelöljük ki), akkor a makroblokk- 
ból levonjuk a kijelölt részt, és a különbséget tömörítjük. Amennyiben kétirányú 
predikciót hajtunk végre (időben megelőző és következő kép egy-egy részletét is 
felhasználjuk), akkor a makroblokkból a JPEG tömörítés előtt a két kijelölt rész 
átlagát vonjuk le. 

Az elölről és a kétirányból alkalmazott predikciónál gondoskodni kell az egy- 
értelmű dekódolhatóságról. Ezt az MPEG-1 szabvány azzal oldja meg, hogy kizárja 
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5.16. ábra. Az MPEG különböző predikciótípusai 


a képek körkörös egymásrahivatkozását. Ennek biztosítására minden egyes képben 
meg van kötve, hogy a benne szereplő makroblokkok kódolása során milyen típusú 
predikciót használhatunk. Ezt mutatjuk be az 5.16. ábrán. 

Az I típusú képben egyáltalán nem alkalmazhatunk predikciót, vagyis ez egy 
önálló kép, JPEG típusú tömörítéssel. Így egy I típusú képet minden egyéb kép 
nélkül tudunk dekódolni. 

A P típusú képek makroblokkjai lehetnek predikció nélkül kódolva, vagy pedig 
predikcióval hátulról, a hozzájuk legközelebb levő I vagy P típusú képből. Egy P 
típusú kép dekódolásához ezek szerint legfeljebb az előtte levő utolsó I képig kell 
visszaszaladnunk, és innentől kezdve P képről P képre tudunk lépkedni. 

A harmadik fajta kép, a B kép bármilyen kódolású makroblokkokat tartalmaz- 
hat, de a makroblokkok csak a legközelebb eső megelőző vagy következő P vagy 
I képekre hivatkozhatnak. Sem B képekre, sem a legközelebbi I vagy P képnél tá- 
volabbi képekre nem lehet hivatkozni. A lényegi különbség a B és P képek között 
az, hogy B képeknél jövőbeli P vagy I képre is hivatkozhatunk. 

Természetesen, a szabvány koncepciójának megfelelően a képek sorrendje nem 
kötött, akárhogyan jöhetnek egymás után a P, I és B képek, ahogy a kódoló akarja. 
A fenti szabályok betartásával lehetséges a dekódolás, mert egy I típusú kép önma- 
gában, egy P típusú az előtte levő, hozzá legközelebbi I képtől indulva, míg egy B 
kép az őt körülvevő I vagy P képek alapján dekódolható. 

Mindemellett hogy nem kötelező, kialakultak szokványos képsorrendek. A 
legsűrűbben egy I képre két P kép épül, és közöttük két-két B kép van. Az 5.16. 
ábrán egy ilyen képsorrend látható. 

A képek sorrendje a bitfolyamban nem egyezik meg a képek idősorrendjével. 
A bitfolyambeli sorrend úgy lett meghatározva, hogy ha sorban olvassuk be a bitfo- 
lyamból a képeket, akkor egy kép beolvasásának időpontjában az összes szükséges 
információ rendelkezésre álljon a dekódoláshoz. Ezt úgy oldja meg a szabvány, 
hogy hátraküldi a B képeket az utánuk következő I vagy P kép mögé. Ezáltal a 
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B képek időben előre mutató referenciája a bitfolyamban hátramutató referencia 
lesz. Természetesen átrendezéskor az I és P képek a helyükön maradnak, és a B 
képek egymáshoz viszonyított sorrendjén sem változtatunk. Tehát, ha az időbeli 
sorrendet az indexekkel jelöljük, akkor a 


. . .B-2B.- 1I0B1B2P3B4B5P-B-BgIo9B19B11P12 . . . 
sorozatból az átrendezés után az 
. . . [OB 2B. 1P3B1B2P:B4B5I9B-7BgP12B1oB11 . . . 


sorozat lesz. 

Egy képcsoport mindig egy I képpel kezdődik, méghozzá a bitfolyambeli sor- 
rend szerint. Emiatt egy képcsoport bitfolyamban első képe önmagában dekódol- 
ható, vagyis nem szükséges régebben dekódolt képek ismerete a dekódolásához. A 
képcsoport további képei is mind dekódolhatóak a bitfolyambeli sorrendben. (Ter- 
mészetesen ezek dekódolása során szükségünk lesz az ezen képcsoportból előttük 


2 


dekódolt képekre.) Kivételt képeznek az első P képet megelőző B képek, ugyanis 
ezek a megelőző képcsoport utolsó P vagy I képére is hivatkozhatnak. (Ne fe- 
lejtsük el, hogy a bitfolyambeli sorrendben definiáljuk a képcsoportot!) Ezek a B 
képek a megelőző képcsoport dekódolása nélkül nem dekódolhatóak. Emiatt az 
első néhány nem dekódolható B kép miatt hívják nyíltnak az ilyen képcsoportot. 
(A szabvány definiál egy zárt képcsoportot is, természetesen ehhez más képsorrend 
szükséges.) Ezáltal a képcsoport a bevezetőben említett viszonylag rövid predik- 
tív egységet testesíti meg, hiszen (nyílt csoport esetén néhány B kép kivételével) a 
képcsoportok egymástól függetlenül dekódolhatóak. 

Az MPEG videokódolás, amennyiben ezt nem szabályozzuk külön, változó bit- 
sebességet fog eredményezni. Gondoljunk például arra, hogy ahol egy teljesen új 
kép jelenik meg a videofolyamban (vágás), ott az első kép makroblokkjait nem 
tudjuk predikcióval tömöríteni, és így gyakorlatilag egy teljes képet kell JPEG-gel 
kódolnunk. Ez igen sok bitet igényelhet. Ott viszont ahol egy állókép van a vi- 
deofolyamban, szinte nem is lesz predikciós maradék, vagyis nagyon rövid lesz 
a kód. Az átvitelhez használt csatorna bitsebességét a kódolás során természete- 
sen nem léphetjük át. Ezen a problémán pufferek felhasználásával valamennyit 
lehet segíteni, de meg kell oldani, hogy a dekódoló puffere sohase ürüljön ki, és 
sohase csorduljon túl, továbbá a kódoló is csak a csatorna átviteli képességének 
megfelelő mennyiségű adatot hozzon létre. Ennek eléréséhez a kódoló állandóan 
figyeli a saját pufferét, és nyomon követi a dekódolóét is. (Ez utóbbihoz egyes ese- 
tekben a dekódoló szimulációjára kényszerül.) Ha például a kódoló puffere kezd 
megtelni csökkentenie kell a képenként átvitt bitek mennyiségét. Ezt a JPEG kvan- 
tálási lépcső megemelésével érheti el, természetesen a minőség rovására. Durvább 
megoldás, ha bizonyos makroblokkok predikciós maradékát egyszerűen elhagyja a 
kódból, és csak a mozgásvektorokat adja meg. Még durvább lehetőségek is rendel- 
kezésére állnak a kódolónak. Ilyen például a bemenetén érkező kép információtar- 
talmának korlátozása, például a képífrekvencia vagy a felbontás csökkentésével. 
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5.5. Feladatok 


5.1. feladat (Normális eloszlás egy bites kvantálása). Legyen X nulla várható ér- 
tékű, c szórású normális eloszlású valószínűségi változó. Határozza meg az opti- 
mális egy bites (két szintű) kvantálót! Mennyi a torzítás? 


5.2. feladat (Exponenciális eloszlás kvantálása). Legyen X valós valószínűségi 


PLZ A 


változó, melynek sűrűségfüggvénye 


ce73", ha x c [0,2] 


10) - (a ha x  [0,2] 7 


ahol c olyan konstans, hogy f valószínűségi sűrűségfüggvény. Kvantáljuk X-et 
egy [0,2]-re illeszkedő 4 bites (16 szintű) egyenletes 01 kvantálóval. A tanult 
közelítéseket használva számolja ki a kvantáló négyzetes torzítását és a H(O01(X )) 
entrópiát! 

5.3. feladat. Az ábrán látható f(x) sűrűségfüggvényű X valószínűségi változót 2 
bites egyenletes kvantálóval kvantáljuk, mely illeszkedik a [—1, 1] intervallumra. 


a) Számolja ki a kvantálási szinteket! 

b) Számolja ki pontosan a kvantáló négyzetes torzítását és kimenetének entrópiá- 
ját! 

c) Adjon közelítést a kvantáló négyzetes torzítására és entrópiájára! Mennyire 
egyeznek a pontos és közelítő értékek? 


Xx 
(Segítség: jadaret —x2 (5 — 3) 


f(x) 





5.4. feladat (A L1loyd-Max-algoritmus nem optimális). Mutasson példát arra, 
hogy a L1oyd-Max kvantálótervező algoritmus nem mindig a minimális torzítású 
kvantálóhoz konvergál. Azaz adjon meg egy olyan , rossz" sűrűségfüggvényt és 
kiindulási kvantálót, hogy az algoritmus biztosan ne az optimumhoz konvergáljon. 


5.5. feladat. Számítsa ki a 6 szórású, m várható értékű normális eloszlás differen- 
ciális entrópiáját. 
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5.6. feladat (Maximális differenciális entrópia). Mutassa meg, hogy az adott vár- 
ható értékű és szórású valószínűségi változók közül a normális eloszlásúnak maxi- 
mális a differenciális entrópiája. 


5.7. feladat (Differenciális entrópia). Legyen X abszolút folytonos eloszlású va- 
lószínűségi változó, és jelöljük H(X)-szel a differenciális entrópiáját. Mutassa 
meg, hogy bármely c - 0 számra 


H(cX) — H(X) 7-logc. 


5.8. feladat. Legyen X egyenletes eloszlású a (0,60] intervallumon. Egy A lép- 
csőjű egyenletes kvantálóval kvantálva a négyzetes torzítás 0.03. Körülbelül mek- 
kora A értéke? Mekkora a kvantáló kimenetének entrópiája? 


5.9. feladat. Egy standard normális eloszlású X valószínűségi változót a követ- 
kező kvantálóval kvantálunk: 


0(X) — a, hax20 
— ]-a, haxc07 


Számítsa ki a kvantáló négyzetes torzítását! Hogyan válasszuk meg a-t a torzítás 
minimalizálásához? 


5.10. feladat. Legyen X egy 1 várható értékű, 2 szórásnégyzetű, normális elosz- 
lású valószínűségi változó. Írja fel az optimális kompresszorfüggvényt a $(x) stan- 
dard normális eloszlásfüggvény segítségével. 


5.11. feladat. A veszteséges baseline JPEG algoritmus mely lépésénél történik a 
tényleges tömörítés? Hogyan eredményezhet ugyanaz az algoritmus különböző 
tömörítési arányokat? 


5.12. feladat. Egy MPEG videoszekvencia egy képcsoportja legyen IdB1P2B3B4Ps5 
B5B7Psl9, ahol az indexekkel az időbeli sorrendet jelöltük. A B képek a hozzájuk 
legközelebb eső I és P képek alapján mindkét irányú predikciót használnak. A P 


24 


képek csak a hozzájuk legközelebbi előző I képet használják a becsléshez. 
a) Adja meg a képek helyes sorrendjét, amely megfelelő a dekódoláshoz. 


b) Ha a P;5 kép megsérül, lehetséges-e a B1, B3, B-7, Pg képek bármelyikét dekó- 
dolni? 


5.6. Megoldások 


PZNZA 


5.1. megoldás. Az X valószínűségi változó sűrűségfüggvénye 
1 az 


v2 s 
TO 





f() — 
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Kövessük a L1loyd-Max-algoritmust. Ehhez először vegyünk fel egy tetszőleges 
két szintű kvantálót, például 


2, hax2 I, 
2309 He ( —2, hax c 1. 


Optimalizáljuk a kvantálót a kvantálási szintek szerint, vagyis határozzuk meg az 
intervallumhatárokat a legközelebbi szomszéd feltétel kielégítésével: 


2, hax2 0, 
22) 3 ( —2, ha x c 0. 


Alkalmazzuk a súlypont feltételt: 





Jafar a, a. öle. JŐ 
x- st hg e 22dx—2]———e 237 — —1/—6, 
j 0 V2no vV2n 18 n 


és szimmetria okokból 


VA 
X2—4/—6, 
N 


VIS hax20, 
-y2s, ha x c 0. 


Ez már a lépések ismétlésével sem változik, tehát 093(x) egy Lloyd-Max-kvantáló, 
melynek torzítása 


vagyis 


03(x) — 


00 


D(03) — f(x 239)? dr — 




















1 2 2 1 022 
28 Na rá STTN Eseti ES KEZŰ 
9 v2no nm. 2n6 
2 f 1 2 HESS 5 
—2 2 [7 e 22dxi 6 csesáf; USE 
n 4 vV2no n 2n6 
2 1 2 1 2 
— 67 —214/-6— 6—214/-6— ot 6 — 
n 2n n v2n n 
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5.3. megoldás. A 2 bites, egyenletes kvantáló lépésköze A4 — 0.5, és 4 kvantá- 
lási tartománya van, ezek: Bi — [—1,—0.5), B2 — [—0.5,0), B3z — [0,0.5), B4 — 
(0.5, 1]. 


a) A kvantálási szintek az intervallumok közepén helyezkednek el, így xi — —0.75, 
X2 — —0.25, X3 — 0.25, X4 — 0.75. 


b) A négyzetes torzítás definíciója szerint 


1 


D(04) — [(x— ea) fd dr — 


—-1 


—0.5 0 
- f 64035) Ddx-t f (x--0.25)2(x-4 1) dx 
és Hz 
-F / (x— 0.25)92(1—x) dx-k / (x— 0.75)2(1 — x) dx — 
/ 1) 


1 43 1 db. 1 BI6 L/ 
— 384 128 128 384 
1 
487 
A kvantáló entrópiájának kiszámításához szükségünk van az eloszlására: 
—0.5 —0.5 


pi — P(04(X) — —0.15)— ( fíadr— f 6dr— e, 
51 Sa] 


0 0 
Da — P(04(x)——025)— f f(9dr— f 6r1)dr— 5, 
—0.5 né 


0.5 
ps — P(04(x) —0.25)— ( 9d4r— (41-94 7, 
0 


0 


1 1 
Pa — P(2s(X) — 0.75) — ( fddr— (1—) dr — 
0.5 a 


0 
ahonnan 


1.2 3. 3 3 
H(O4(X)) —2 (asz) 32 (-spsz) — 3 — 21083 s 1.81. 


c) A négyzetes torzítás közelítésére ismert képlet szerint 


AZ 1 


MÁJ gy 
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tehát a közelítés pontos. Az entrópiára a közelítés 
H(O4(X)) s H(f) — log Au. 


Ehhez ki kell számítanunk az eloszlás differenciális entrópiáját: 


1 


H()—— f fedlogf) ár — 


0 1 
sz — fee Dlogte Ddr— [(1— adog — a) dx — 
1 0 
1 f 1 f 
0 0 
zt erő gl sz 
ln2 2 4 
PT! 
. 21n27 


és ebből 


1 1 


vagyis a hiba 0.1 alatti. 


245 


5.5. megoldás. Legyen p(x) az m várható értékű, c szórású normális eloszlás sű- 


rűségfüggvénye. Ekkor 


H(o) — — f olmlogeím dx — 


00 








1 
7 — 10 e 2622 dx — 
969 87G 
f 1 K.S (x—m)? 
—— — f 96910g szirt maz [99 dx — 


úi 1 1 1 [. 
— -108—— [e9darnzzz [99094 


—o0 





1 2m Tr 1 m Tr 
ma 2o [Dart zza / 904 
1 1 1 Ír 2 1 m 
BEKES ergo Rl FEL ZÉBENÉT cv E o EMELEK Cal KSE 


2no 1n2262 
- log v2Tec. 


1n2 262 1n2 262 
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5.6. megoldás. Legyen 0(x) az m várható értékű, c szórású normális eloszlás sű- 
rűségfüggvénye, f(x) pedig egy szintén m várható értékű, c szórású, de egyébként 
tetszőleges eloszlás sűrűségfüggvénye. Ekkor 


H(9)—H(J) — És )logp(x áss og f(x) dx 


szeb JANET ési Tan fels )log f(x) dx — 





00 


a" 8 
HE )log—5— dr 1-mz [969 b. S) dr / fdlog (0) dr — 


: RL ÖREN T 1 2m f 
ra [088 eizszz oda ez őz 709 ük 


—o0 —o0 


szél a MÉSESEKES 


me járt ff JÖGJELEÉK 


00 


—— f fedlogokJ dr hi f(dJlog fd dx — 


—o0 —o0 


zi — [fog Car 











—- —log 


f(x) 


ahol kihasználtuk a logx c T- (x — 1) egyenlőtlenséget. 


5.7. megoldás. Legyen az X változó sűrűségfüggvénye a [—A,A] intervallumban 


PLZ A 


f(x), azon kívül pedig 0. Ekkor az cX változó sűrűségfüggvénye a [—cA, cAJ inter- 
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vallumban - f (3), azon kívül 0, differenciális entrópiája pedig 


cA 


Hex) —— [Over ar 


—cA 


A 
— — f f(dlog (49) dr — 
—A 


A A 
— — f fog f(x dr--loge / fe) dr — 
—A —A 
— H(X) --logc. 


5.8. megoldás. Az N-szintű egyenletes kvantáló négyzetes torzítására ismert kö- 
zelítés szerint 
AN 
D MR E 
(ON? 
amelyből Ay A 0.6. A kvantáló kimenetének entrópiája 


H(ON(X)) s H(f) — logAn, 


amelyhez szükségünk van a [0, 60] intervallumon egyenletes eloszlás differenciális 


entrópiájára: 
60 
H(f) —— f fedlogf(d dx — 
0 
60 § í 
sza Pf öloszodk e 
j/ 60 "60 
- 10g60, 
vagyis 


60 
H(ON(X)) A 10g60 —10g0.6 — log NYZ 10g100 A 6.64. 


5.9. megoldás. A kvantáló négyzetes torzítása: 


00 


D(0) — f 1— OGY)? dr — 
b. I 
— f e zelmdra [6— ao dr — 
—o0 0 


— JT étlájáss úszéljás égtáj 
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00 


1 [doch] fddaocJarr ( dotJar— 
0 0 0 


00 


00 


— [2 aolddr— 4 f axp() dx — 
0 


— 1 pa E Tz 


va 


amelyet az a — v: választás minimalizál. Ez az eredmény megegyezik a súlypont 





feltétellel, hiszen 





[0] feel 
fJxpe)jdx 22 JxoG)dx 2 
570 DBR 2 ; 50 am 9 [2 
Aber e, 7 1 7 — zi es VAS ZT Ea ir je 
J e(x) dx 2 496920 2 


PZNPZA 


5.10. megoldás. Az X valószínűségi változó sűrűségfüggvénye: 


(6-2 
jesz e 


Az (5.3) egyenlet szerint az optimális kompresszorfüggvény 


Xx 








; 552 dz 
EG EGZ eze 
5 S (2) dz 
5 AD 
f.:SEN det dz 
Szikes MENEZES 
2 J Pa 3e- dz 
ez d sz 
1 Viz) ve td 
- — — 7 Ess 
2 E 
1 
— —— 71 8(x— 1). 


5.11. megoldás. A tényleges tömörítés a kvantálási lépésben történik (a DCT után). 
Különböző tömörítési arányokat úgy kaphatunk, ha a kvantálási táblát (vagyis a 
kvantálási lépésközöket) megváltoztatjuk, s így a DCT együtthatók pontosabb vagy 
kevésbé pontos kvantáltját kapjuk. 
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5.12. megoldás. 


a) Több helyes válasz is elképzelhető. Azt kell biztosítanunk, hogy az I képet 
küldjük el először, majd ezt követik a P képek. A B képek csak azon P és I 
képek után következhetnek, amelyeket felhasználtunk a predikció során. Pél- 
dául az Io9P2B1P5B3B4PgB5B-1o és az IoP2P5PSsB1B3B4B6B719 egyaránt helyes 
sorrendek. 


b) Ps; megsérülése esetén az összes olyan kép dekódolhatatlanná válik, amelyek- 
nek a predikciójához felhasználtuk. B3, B7 és Pg függenek P5-től, míg Bi nem. 


5.7. Összefoglalás 


Ebben a fejezetben a veszteséges tömörítési eljárásokat vettük sorra, amelyeknél 
nem követelmény a tömörített adatokból az eredeti adatok tökéletes helyreállítása 
[2, 3, 4, 7, 8, 12, 15]. Az érzékszerveinkkel sokszor szinte észrevehetetlen minő- 
ségromlást a tömörítés hatékonyságának növelése érdekében engedjük meg. 

Megismerkedtünk a kvantálóval, amely folytonos értékkészletű jelek diszkrét 
értékkészletűvé alakítását végzi. Bemutattuk a Lloyd-Max kvantálótervező algo- 
ritmust és kiszámítottuk az egyenletes kvantáló torzítását [2, 7, 10]. Megvizsgáltuk 
a kompanderes és a vektorkvantálás műveletét, amely technikák nem egyenletes el- 
oszlású jelek esetén kedvezőbb torzítást nyújtanak [2, 9]. Az utóbbi egy speciális 
esetére, a transzformációs kódolásra is vettünk néhány példát. A térben vagy idő- 
ben közeli jelek és minták közötti összefüggéseket kihasználó eljárás, a prediktív 
(memóriával rendelkező) kódolás került ezután sorra, amely családból a DPCM- 
et, a delta modulációt és a Jayant-kvantálót vizsgáltuk, jellemző hibáikra is utalva 
[171. 

A veszteséges tömörítési módszerek alkalmazásaként először beszéd- és hang- 
tömörítőket tekintettünk [6, 10, 11, 17]. Kitértünk érzékszerveink (fülünk és sze- 
münk) sajátosságaira és hiányosságaira, amelyeket kihasználva hatékony tömörí- 
tési módszereket dolgozhatunk ki. A képtömörítők közül a GIF és a JPEG formátu- 
mot vizsgáltuk, majd az MPEG videotömörítő került terítékre [6, 10, 16, 17]. 
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